Come rimuovere Glitch SPY dai dispositivi Android
TrojanConosciuto anche come: Glitch SPY remote access trojan
Ottieni una scansione gratuita e controlla se il tuo computer è infetto.
RIMUOVILO SUBITOPer utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Che tipo di malware è Glitch SPY?
Glitch SPY è un Remote Access Trojan (RAT) per Android in grado di eseguire oltre 70 comandi sui dispositivi infetti. Analizzato da Cyble Research and Intelligence Labs, viene distribuito attraverso una piattaforma polacca fraudolenta per l'affitto di appartamenti che induce gli utenti a installare manualmente un APK dannoso. Una volta installato, Glitch SPY offre agli aggressori il controllo completo del dispositivo della vittima, consentendo qualsiasi attività, dalla sorveglianza in tempo reale al furto finanziario.

Panoramica del malware Glitch SPY RAT
Glitch SPY viene distribuito tramite un sito web fraudolento (tutaj-dompl[.]com) che impersona un legittimo servizio polacco di affitto di appartamenti. I visitatori vengono indotti a scaricare quella che sembra essere un'app mobile, ma il link conduce a un APK dannoso anziché a un'applicazione autentica.
Il file scaricato non è Glitch SPY in sé, ma un dropper noto come Brokewell Android Loader. Presenta una schermata di aggiornamento falsa e convince l'utente ad abilitare l'installazione da origini sconosciute, per poi distribuire silenziosamente il payload di Glitch SPY in background.
Una volta installato, Glitch SPY sfrutta i Servizi di accessibilità di Android per ottenere un controllo profondo a livello di sistema. Ciò consente al malware di automatizzare la concessione delle autorizzazioni, interagire con l'interfaccia del dispositivo ed eseguire azioni senza alcun ulteriore intervento da parte della vittima.
Il RAT supporta oltre 70 comandi, collocandosi tra le minacce Android più capaci. Le funzionalità di sorveglianza includono lo streaming dello schermo in tempo reale, l'acquisizione di screenshot, il keylogging e l'estrazione del testo tramite screen reader. La fotocamera e il microfono possono anche essere attivati da remoto per la sorveglianza audio e video.
Le capacità di furto di dati sono estese. Glitch SPY raccoglie messaggi SMS, contatti, registri delle chiamate, dettagli degli account del dispositivo, posizione GPS e un elenco delle applicazioni installate. Viene monitorato anche il contenuto degli appunti, che alimenta direttamente la funzione di crypto-clipping del malware.
Il crypto-clipper sostituisce silenziosamente gli indirizzi dei portafogli di criptovaluta con quelli controllati dagli aggressori su più formati di blockchain. Qualsiasi pagamento che la vittima tenta di inviare finisce al criminale anziché al destinatario previsto.
Glitch SPY include anche un browser nascosto - un componente fuori schermo in grado di eseguire acquisizioni di account basate sul web dal dispositivo e dall'indirizzo IP della vittima stessa. Poiché le richieste provengono dal telefono della vittima, i sistemi di rilevamento delle frodi che segnalano dispositivi o posizioni non familiari hanno meno probabilità di rilevare l'attività.
Le operazioni sui file completano il set di strumenti del malware. Glitch SPY può gestire, caricare ed eseguire file sul dispositivo e può crittografare o decrittografare i dati utilizzando la crittografia AES/GCM. Tutta la comunicazione di comando e controllo avviene tramite connessioni WebSocket persistenti verso due server noti.
L'infrastruttura di supporto include un pannello di amministrazione con moduli per creare nuovi payload, gestire i dispositivi infetti, eseguire un cryptor e configurare le campagne. Ciò indica che Glitch SPY è progettato come una piattaforma multi-campagna piuttosto che come uno strumento monouso.
È bene sottolineare che gli sviluppatori di malware aggiornano e migliorano regolarmente il loro software, quindi le versioni future di Glitch SPY potrebbero presentare capacità aggiuntive o diverse. In sintesi, avere questo RAT su un dispositivo può comportare gravi violazioni della privacy, perdite finanziarie, acquisizioni di account e furto di identità.
| Nome | Glitch SPY remote access trojan |
| Tipo Di Minaccia | Malware Android, applicazione dannosa, Remote Access Trojan, Remote Administration Tool, RAT. |
| Nomi Di Rilevamento | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.SpyAgent.NU), ESET-NOD32 (Android/Spy.Agent.GIE Trojan), Kaspersky (HEUR:Trojan.AndroidOS.Boogr.gsh), Elenco Completo (VirusTotal) |
| Sintomi | Il dispositivo è lento, le impostazioni di sistema vengono modificate senza il permesso dell'utente, compaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta significativamente, i browser reindirizzano verso siti web discutibili, vengono recapitate pubblicità intrusive. |
| Metodi Di Distribuzione | Siti web dannosi, download di APK fraudolenti, ingegneria sociale. |
| Danni | Informazioni personali rubate (messaggi privati, login/password, ecc.), prestazioni del dispositivo ridotte, batteria che si scarica rapidamente, velocità di Internet ridotta, ingenti perdite di dati, perdite economiche, identità rubata (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Windows) |
Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. Scarica Combo CleanerLo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk. |
Esempi di trojan di accesso remoto specifici per Android
Glitch SPY è un RAT notevolmente avanzato, che combina una catena di distribuzione basata su dropper, un ampio abuso del Servizio di accessibilità e un browser nascosto per acquisizioni di account furtive. Detto questo, condivide lo stesso modello di minaccia sottostante di molti RAT Android i cui obiettivi principali sono la sorveglianza e la frode finanziaria.
Esempi di trojan di accesso remoto simili che prendono di mira Android includono BTMOB, Mirax e SURXRAT. Tutte queste minacce possono causare gravi danni, e si consiglia vivamente una rimozione tempestiva utilizzando uno strumento di sicurezza affidabile.
Come si è infiltrato Glitch SPY RAT nel mio dispositivo?
Glitch SPY raggiunge le vittime tramite un falso sito polacco di affitto di appartamenti (tutaj-dompl[.]com). Il sito si presenta come una piattaforma immobiliare legittima e promuove il download di un'app mobile, ma il file che fornisce è un APK dannoso, non un'applicazione reale.
Quell'APK contiene il Brokewell Android Loader, un dropper che mostra una convincente schermata di aggiornamento falsa. Richiede l'autorizzazione a installare app da origini sconosciute e, una volta concessa, distribuisce silenziosamente il payload di Glitch SPY in background.
Dopo l'installazione, la falsa app richiede l'accesso ai Servizi di accessibilità di Android. Concedere questa autorizzazione dà al malware un controllo profondo del dispositivo e completa l'infezione.
Più in generale, il malware Android si diffonde anche tramite campagne di phishing, app store non ufficiali e falsi prompt di aggiornamento software. Qualsiasi applicazione proveniente da canali non ufficiali comporta un rischio elevato.
Come evitare l'installazione di malware?
Scaricate le app esclusivamente dal Google Play Store ufficiale o dai siti di sviluppatori verificati. L'impostazione «Installa da origini sconosciute» dovrebbe rimanere disabilitata in quasi tutte le situazioni - è la principale porta d'accesso che minacce come Glitch SPY utilizzano per aggirare le protezioni di sicurezza integrate di Android.
Prima di installare qualsiasi app, esaminate le sue autorizzazioni e controllate le recensioni degli utenti. Prestate attenzione alle piattaforme immobiliari, alle app bancarie o ad altri servizi finanziari promossi tramite annunci o link non richiesti. Mantenere aggiornati Android e tutte le app installate, insieme a uno strumento di sicurezza mobile affidabile, riduce significativamente le probabilità di infezione.
Screenshot del processo di distribuzione e installazione di Glitch SPY RAT (fonte: cyble.com):

Screenshot del falso sito web Tutaj Dompl utilizzato per diffondere Glitch SPY:

Screenshot del pannello di amministrazione web di Glitch SPY RAT:

Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disabilitare le notifiche del browser nel browser Chrome?
- Come ripristinare il browser Chrome?
- Come eliminare la cronologia di navigazione dal browser Firefox?
- Come disabilitare le notifiche del browser nel browser Firefox?
- Come ripristinare il browser Firefox?
- Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in «Modalità provvisoria»?
- Come controllare l'utilizzo della batteria delle varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare il sistema allo stato predefinito?
- Come disabilitare le applicazioni che hanno privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:

Toccate il pulsante «Menu» (tre puntini nell'angolo in alto a destra dello schermo) e selezionate «Cronologia» nel menu a discesa che si apre.

Toccate «Cancella dati di navigazione», selezionate la scheda «AVANZATE», scegliete l'intervallo di tempo e i tipi di dati che desiderate eliminare e toccate «Cancella dati».
Disabilitare le notifiche del browser nel browser Chrome:

Toccate il pulsante «Menu» (tre puntini nell'angolo in alto a destra dello schermo) e selezionate «Impostazioni» nel menu a discesa che si apre.

Scorrete verso il basso finché non vedete l'opzione «Impostazioni sito» e toccatela. Scorrete verso il basso finché non vedete l'opzione «Notifiche» e toccatela.

Trovate i siti web che recapitano notifiche del browser, toccateli e cliccate su «Cancella e reimposta». Ciò rimuoverà le autorizzazioni concesse a questi siti web per recapitare notifiche. Tuttavia, una volta che visitate nuovamente lo stesso sito, potrebbe richiedere nuovamente l'autorizzazione. Potete scegliere se concedere o meno queste autorizzazioni (se scegliete di rifiutare, il sito web andrà nella sezione «Bloccati» e non vi chiederà più l'autorizzazione).
Ripristinare il browser Chrome:

Andate su «Impostazioni», scorrete verso il basso finché non vedete «App» e toccatela.

Scorrete verso il basso finché non trovate l'applicazione «Chrome», selezionatela e toccate l'opzione «Archiviazione».

Toccate «GESTISCI ARCHIVIAZIONE», poi «CANCELLA TUTTI I DATI» e confermate l'azione toccando «OK». Notate che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete anche effettuare nuovamente l'accesso a tutti i siti web.
Eliminare la cronologia di navigazione dal browser Firefox:

Toccate il pulsante «Menu» (tre puntini nell'angolo in alto a destra dello schermo) e selezionate «Cronologia» nel menu a discesa che si apre.

Scorrete verso il basso finché non vedete «Cancella dati privati» e toccatelo. Selezionate i tipi di dati che desiderate rimuovere e toccate «CANCELLA DATI».
Disabilitare le notifiche del browser nel browser Firefox:

Visitate il sito web che recapita le notifiche del browser, toccate l'icona visualizzata a sinistra della barra dell'URL (l'icona non sarà necessariamente un «Lucchetto») e selezionate «Modifica impostazioni sito».

Nel pop-up che si apre, selezionate l'opzione «Notifiche» e toccate «CANCELLA».
Ripristinare il browser Firefox:

Andate su «Impostazioni», scorrete verso il basso finché non vedete «App» e toccatela.

Scorrete verso il basso finché non trovate l'applicazione «Firefox», selezionatela e toccate l'opzione «Archiviazione».

Toccate «CANCELLA DATI» e confermate l'azione toccando «ELIMINA». Notate che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete anche effettuare nuovamente l'accesso a tutti i siti web.
Disinstallare applicazioni potenzialmente indesiderate e/o dannose:

Andate su «Impostazioni», scorrete verso il basso finché non vedete «App» e toccatela.

Scorrete verso il basso finché non vedete un'applicazione potenzialmente indesiderata e/o dannosa, selezionatela e toccate «Disinstalla». Se, per qualche motivo, non riuscite a rimuovere l'app selezionata (ad es. viene visualizzato un messaggio di errore), dovreste provare a utilizzare la «Modalità provvisoria».
Avviare il dispositivo Android in «Modalità provvisoria»:
La «Modalità provvisoria» nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. Utilizzare questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad es. rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona «normalmente»).

Premete il pulsante «Accensione» e tenetelo premuto finché non vedete la schermata «Spegni». Toccate l'icona «Spegni» e tenetela premuta. Dopo qualche secondo apparirà l'opzione «Modalità provvisoria» e potrete eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:

Andate su «Impostazioni», scorrete verso il basso finché non vedete «Manutenzione dispositivo» e toccatelo.

Toccate «Batteria» e controllate l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per utilizzare la minor quantità di energia possibile al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un elevato utilizzo della batteria potrebbe indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:

Andate su «Impostazioni», scorrete verso il basso finché non vedete «Connessioni» e toccatelo.

Scorrete verso il basso finché non vedete «Utilizzo dati» e selezionate questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un enorme utilizzo dei dati potrebbe indicare la presenza di un'applicazione dannosa. Notate che alcune applicazioni dannose potrebbero essere progettate per operare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, dovreste controllare l'utilizzo dei dati sia Mobile che Wi-Fi.

Se trovate un'applicazione che utilizza molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti software:
Mantenere il software aggiornato è una buona pratica quando si tratta della sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android al fine di correggere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, motivo per cui dovreste sempre assicurarvi che il software del vostro dispositivo sia aggiornato.

Andate su «Impostazioni», scorrete verso il basso finché non vedete «Aggiornamento software» e toccatelo.

Toccate «Scarica aggiornamenti manualmente» e controllate se sono disponibili aggiornamenti. In tal caso, installateli immediatamente. Vi consigliamo inoltre di abilitare l'opzione «Scarica aggiornamenti automaticamente» - consentirà al sistema di notificarvi quando viene rilasciato un aggiornamento e/o di installarlo automaticamente.
Ripristinare il sistema allo stato predefinito:
Eseguire un «Ripristino dati di fabbrica» è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni di sistema ai valori predefiniti e pulire il dispositivo in generale. Tuttavia, dovete tenere presente che tutti i dati all'interno del dispositivo verranno eliminati, comprese foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà ripristinato al suo stato originale.
Potete anche ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.

Andate su «Impostazioni», scorrete verso il basso finché non vedete «Info sul telefono» e toccatelo.

Scorrete verso il basso finché non vedete «Ripristina» e toccatelo. Ora scegliete l'azione che desiderate eseguire:
«Ripristina impostazioni» - ripristina tutte le impostazioni di sistema ai valori predefiniti;
«Ripristina impostazioni di rete» - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
«Ripristino dati di fabbrica» - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;
Disabilitare le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene privilegi a livello di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, dovreste sempre controllare quali app hanno tali privilegi e disabilitare quelle che non dovrebbero averli.

Andate su «Impostazioni», scorrete verso il basso finché non vedete «Schermata di blocco e sicurezza» e toccatelo.

Scorrete verso il basso finché non vedete «Altre impostazioni di sicurezza», toccatelo e poi toccate «App amministrazione dispositivo».

Identificate le applicazioni che non dovrebbero avere privilegi di amministratore, toccatele e poi toccate «DISATTIVA».
Domande frequenti (FAQ)
Il mio dispositivo Android è infetto dal malware Glitch SPY RAT, devo formattare il mio dispositivo di archiviazione per liberarmene?
La formattazione è raramente necessaria per rimuovere il malware Android. L'esecuzione di un'applicazione di sicurezza mobile affidabile come Combo Cleaner dovrebbe essere sufficiente per rilevare ed eliminare Glitch SPY dal vostro dispositivo.
Quali sono i maggiori problemi che il malware Glitch SPY RAT può causare?
Glitch SPY offre agli aggressori un controllo quasi completo su un dispositivo infetto. Può rubare messaggi SMS, contatti e credenziali degli account, registrare le sequenze di tasti, acquisire audio e video e monitorare il contenuto degli appunti.
Il crypto-clipper del malware reindirizza silenziosamente i pagamenti di criptovaluta verso portafogli controllati dagli aggressori. Il suo componente browser nascosto può anche eseguire acquisizioni di account direttamente dal dispositivo della vittima, aggirando molti sistemi di rilevamento delle frodi.
Qual è lo scopo del malware Glitch SPY RAT?
La maggior parte del malware è motivata dal guadagno finanziario. Le funzionalità di crypto-clipping e di furto di dati di Glitch SPY suggeriscono che il profitto sia il motivo principale, sebbene gli aggressori possano anche utilizzarlo per spionaggio mirato, tracciamento di individui o altre ragioni personali.
Come si è infiltrato il malware Glitch SPY RAT nel mio dispositivo Android?
Glitch SPY viene diffuso tramite un falso sito web polacco di affitto di appartamenti. I visitatori vengono ingannati e indotti a scaricare un APK dannoso che contiene il Brokewell Android Loader, che installa silenziosamente Glitch SPY fingendo di eseguire un legittimo aggiornamento dell'app.
Combo Cleaner mi proteggerà dal malware?
Combo Cleaner è in grado di rilevare ed eliminare quasi tutte le infezioni malware note. Si consiglia di eseguire una scansione completa del sistema, poiché minacce sofisticate come Glitch SPY spesso si annidano in profondità all'interno del dispositivo.
Condividi:
Tomas Meskauskas
Esperto ricercatore nel campo della sicurezza, analista professionista di malware
Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.
Il portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
DonazioneIl portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
Donazione
▼ Mostra Discussione