Come rimuovere PromptSpy dai dispositivi infetti

Che tipo di malware è PromptSpy?

PromptSpy è un malware per Android che sfrutta l'intelligenza artificiale generativa per garantire la propria persistenza. Utilizza Google Gemini per analizzare ciò che appare sullo schermo del dispositivo infetto e stabilire come rimanere attivo nell'elenco delle app recenti. Ciò consente al malware di continuare a funzionare in background. Il suo obiettivo principale è installare un client VNC che permetta agli hacker di visualizzare lo schermo e controllare il dispositivo da remoto.

PromptSpy in dettaglio

PromptSpy include un dropper e un payload che sfrutta in modo improprio Google Gemini. Utilizza Google Gemini per interagire con lo schermo del telefono. Anziché ricorrere a script fissi che potrebbero non funzionare su dispositivi diversi, invia a Gemini informazioni su ciò che è attualmente visualizzato sullo schermo. Gemini analizza gli elementi dello schermo e restituisce istruzioni su dove toccare o quale azione eseguire. Ciò consente al malware di rimanere attivo, mantenendosi nell'elenco delle app recenti anche se l'utente cerca di chiuderlo.

Inoltre, PromptSpy include uno strumento VNC che consente agli hacker di assumere il pieno controllo remoto di un telefono infettato non appena la vittima attiva i servizi di accessibilità. Ciò permette agli hacker di visualizzare lo schermo ed eseguire azioni quali tocchi, scorrimenti, gesti e digitazione.

PromptSpy utilizza l'intelligenza artificiale per mantenere la propria app fissata nell'elenco delle app recenti. Ciò consente al malware di rimanere in esecuzione in background, rendendo più difficile la sua chiusura. Probabilmente questa funzione viene utilizzata prima che i criminali informatici avviino la sessione di controllo remoto. In questo modo, l'app rimane attiva ed è meno probabile che il sistema o la vittima la interrompa.

Inoltre, PromptSpy sfrutta i servizi di accessibilità per impedire agli utenti di rimuoverlo. Quando la vittima cerca di disinstallare l'app o di disattivare i servizi di accessibilità, il malware fa apparire delle finestre invisibili sopra pulsanti come "Interrompi", "Cancella" o "Disinstalla". Questi livelli nascosti bloccano i tocchi della vittima, impedendo che i pulsanti vengano premuti.

Una volta che il malware si è connesso a un server di comando e controllo remoto, può ricevere istruzioni che gli consentono di raccogliere informazioni quali le app installate e attive, acquisire schermate, registrare lo schermo e raccogliere dettagli dalla schermata di blocco. È inoltre in grado di registrare la sequenza di sblocco e rilevare se il display è acceso.

Conclusione

PromptSpy è un esempio di come i criminali informatici abbiano iniziato a utilizzare strumenti di intelligenza artificiale come Google Gemini per rendere il malware più potente e difficile da contrastare. Combinando l'interazione con lo schermo assistita dall'intelligenza artificiale con funzionalità di controllo remoto, gli autori delle minacce possono mantenere attivo il malware e gestire più facilmente i dispositivi infetti.

Altri esempi di malware che prendono di mira i dispositivi Android sono Oblivion RAT, ZeroDayRAT e Arsink.

Come ha fatto PromptSpy a infiltrarsi nel mio dispositivo?

I criminali informatici diffondono PromptSpy tramite siti web dannosi che imitano siti bancari legittimi. Queste pagine utilizzano il marchio e i testi delle banche per sembrare autentiche. Tali siti ospitano app Android dannose che si spacciano per app bancarie ufficiali. Quando una vittima ne installa una, l'app funge da dropper per installare il malware.

Alla vittima viene chiesto di consentire l'installazione da fonti sconosciute, che Android normalmente blocca per motivi di sicurezza. Una volta concessa l'autorizzazione, il dropper si connette a un server remoto e recupera un file di configurazione contenente un link per scaricare il payload di PromptSpy.

Il payload viene scaricato sotto forma di un altro file APK e presentato come un falso aggiornamento. Una volta installato, richiede le autorizzazioni per i servizi di accessibilità e installa i propri componenti dannosi, tra cui il modulo VNC per il controllo remoto.

Come evitare l'installazione di malware?

Assicurati che il tuo sistema operativo e le tue app siano sempre aggiornati e scarica software solo da siti web ufficiali o da app store affidabili. Evita di cliccare su annunci, pop-up o link sospetti presenti su siti poco affidabili e rifiuta le richieste di notifica provenienti da tali siti.

Fai attenzione alle e-mail o ai messaggi inattesi: evita di aprire i link o gli allegati in essi contenuti, a meno che tu non sia sicuro che non siano dannosi. Utilizza un software di sicurezza affidabile per eseguire scansioni regolari in grado di individuare e rimuovere potenziali minacce.

PromptSpy chiede alla vittima di abilitare i servizi di accessibilità (fonte: welivesecurity.com):

Menu rapido:

• Introduzione
• Come eliminare la cronologia di navigazione dal browser Chrome?
• Come disattivare le notifiche nel browser Chrome?
• Come ripristinare le impostazioni predefinite del browser Chrome?
• Come eliminare la cronologia di navigazione dal browser Firefox?
• Come disattivare le notifiche nel browser Firefox?
• Come ripristinare le impostazioni predefinite del browser Firefox?
• Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
• Come avviare il dispositivo Android in "Modalità provvisoria"?
• Come verificare il consumo della batteria delle varie applicazioni?
• Come controllare il consumo di dati delle varie applicazioni?
• Come installare gli ultimi aggiornamenti software?
• Come ripristinare le impostazioni predefinite del sistema?
• Come disabilitare le applicazioni che dispongono di privilegi di amministratore?

Elimina la cronologia di navigazione dal browser Chrome:

Tocca il pulsante "Menu" (i tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATE", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare, quindi tocca "Cancella dati".

[Torna al Sommario]

Disattiva le notifiche nel browser Chrome:

Tocca il pulsante "Menu" (i tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" dal menu a tendina che si apre.

Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.

Individua i siti web che inviano notifiche tramite browser, toccali e clicca su "Cancella e ripristina". In questo modo verranno revocate le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, quando visiterai nuovamente lo stesso sito, potrebbe chiederti nuovamente l'autorizzazione. Puoi scegliere se concedere o meno queste autorizzazioni (se scegli di rifiutarle, il sito web passerà alla sezione "Bloccati" e non ti chiederà più l'autorizzazione).

[Torna al Sommario]

Ripristina il browser Chrome:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccala.

Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Spazio di archiviazione".

Tocca "GESTISCI SPAZIO DI MEMORIA", poi "CANCELLA TUTTI I DATI" e conferma l'operazione toccando "OK". Tieni presente che il ripristino del browser comporterà l'eliminazione di tutti i dati in esso memorizzati. Ciò significa che verranno cancellati tutti gli accessi e le password salvati, la cronologia di navigazione, le impostazioni personalizzate e altri dati. Dovrai inoltre effettuare nuovamente l'accesso a tutti i siti web.

[Torna al Sommario]

Elimina la cronologia di navigazione dal browser Firefox:

Tocca il pulsante "Menu" (i tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" dal menu a tendina che si apre.

Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri eliminare e tocca "CANCELLA DATI".

[Torna al Sommario]

Disattiva le notifiche nel browser Firefox:

Visita il sito web che invia le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli indirizzi (l'icona non sarà necessariamente un "Lucchetto") e seleziona "Modifica impostazioni sito".

Nella finestra pop-up che si apre, seleziona l'opzione "Notifiche" e tocca "CANCELLA".

[Torna al Sommario]

Ripristina il browser web Firefox:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccala.

Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Spazio di archiviazione".

Tocca "CANCELLA DATI" e conferma l'operazione toccando "ELIMINA". Tieni presente che il ripristino delle impostazioni di fabbrica del browser comporterà la cancellazione di tutti i dati in esso memorizzati. Ciò significa che verranno eliminati tutti gli accessi e le password salvati, la cronologia di navigazione, le impostazioni personalizzate e altri dati. Dovrai inoltre effettuare nuovamente l'accesso a tutti i siti web.

[Torna al Sommario]

Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccala.

Scorri verso il basso fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, viene visualizzato un messaggio di errore), prova a utilizzare la "Modalità provvisoria".

[Torna al Sommario]

Avvia il dispositivo Android in "Modalità provvisoria":

La "Modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un ottimo modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").

Premi il pulsante "Accensione" e tienilo premuto finché non compare la schermata "Spegnimento". Tocca l'icona "Spegni" e tienila premuta. Dopo pochi secondi apparirà l'opzione "Modalità provvisoria" e potrai avviarla riavviando il dispositivo.

[Torna al Sommario]

Controlla il consumo della batteria delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccala.

Tocca "Batteria" e controlla il consumo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per consumare il meno possibile, al fine di garantire la migliore esperienza utente e risparmiare energia. Pertanto, un consumo elevato della batteria potrebbe indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controlla il consumo di dati delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccala.

Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo il consumo di dati. Ciò significa che un consumo eccessivo di dati potrebbe indicare la presenza di un'applicazione dannosa. Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, è opportuno controllare sia l'utilizzo dei dati mobili che quello Wi-Fi.

Se trovi un'applicazione che consuma molti dati anche se non la usi mai, ti consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installa gli ultimi aggiornamenti software:

Mantenere aggiornato il software è una buona pratica per garantire la sicurezza del dispositivo. I produttori rilasciano costantemente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug che potrebbero essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, motivo per cui dovresti sempre assicurarti che il software del tuo dispositivo sia aggiornato.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.

Tocca "Scarica gli aggiornamenti manualmente" e verifica se sono disponibili aggiornamenti. Se sì, installali immediatamente. Ti consigliamo inoltre di attivare l'opzione "Scarica gli aggiornamenti automaticamente": in questo modo il sistema ti avviserà non appena verrà rilasciato un aggiornamento e/o lo installerà automaticamente.

[Torna al Sommario]

Ripristina le impostazioni predefinite del sistema:

Eseguire un "Ripristino delle impostazioni di fabbrica" è un ottimo modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni di sistema predefinite e ripulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno cancellati, incluse foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà riportato al suo stato iniziale.

È inoltre possibile ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccala.

Scorri verso il basso fino a visualizzare "Ripristina" e toccalo. Ora scegli l'azione che desideri eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;

[Torna al Sommario]

Disattiva le applicazioni che dispongono di privilegi di amministratore:

Se un'applicazione dannosa ottiene privilegi di amministratore, può causare gravi danni al sistema. Per garantire la massima sicurezza del dispositivo, è consigliabile verificare sempre quali app dispongono di tali privilegi e disattivare quelle che non dovrebbero averli.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccala.

Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccala e poi tocca "App amministratore del dispositivo".

Individua le app che non dovrebbero disporre dei privilegi di amministratore, toccale e poi tocca "DISATTIVA".

Domande frequenti (FAQ)

Il mio dispositivo è stato infettato dal malware PromptSpy: devo formattare il dispositivo di archiviazione per eliminarlo?

Seguendo questa procedura eliminerai PromptSpy, ma verranno cancellati anche tutti i dati; pertanto, dovresti ricorrere a questa soluzione solo come ultima risorsa. Ti consigliamo di eseguire prima una scansione completa con un software di sicurezza affidabile, come Combo Cleaner.

Quali sono i problemi più gravi che il malware può causare?

Il malware può accedere ai tuoi dati personali, consentire agli hacker di assumere il controllo remoto del tuo dispositivo, danneggiare (ad esempio, crittografando) o cancellare file, installare altre app dannose, rallentare il sistema, causare arresti anomali e compiere altre azioni dannose.

Qual è lo scopo di PromptSpy?

Lo scopo di PromptSpy è quello di consentire agli hacker di assumere il controllo remoto di un dispositivo Android infettato, rimanendo nascosti e attivi nel sistema. Inoltre, raccoglie informazioni sensibili dal dispositivo e impedisce agli utenti di rimuoverlo facilmente.

Come ha fatto PromptSpy a infiltrarsi nel mio dispositivo?

PromptSpy si diffonde tramite siti web bancari contraffatti che ospitano app Android dannose. Quando una vittima installa l'app e autorizza i download da fonti sconosciute, il malware scarica il payload di PromptSpy sotto forma di un falso aggiornamento. Il malware richiede quindi l'accesso ai servizi di accessibilità e installa componenti come il modulo VNC per il controllo remoto.

Combo Cleaner mi proteggerà dal malware?

Sì, Combo Cleaner è in grado di rilevare e rimuovere la maggior parte dei malware conosciuti. Poiché le minacce più sofisticate possono nascondersi in profondità nel sistema, si consiglia di eseguire una scansione completa per assicurarsi che tutti i componenti dannosi vengano individuati e rimossi.