Come rimuovere Glitch SPY dai dispositivi Android

Trojan

Conosciuto anche come: Glitch SPY remote access trojan

Livello di danno:

Ottieni una scansione gratuita e controlla se il tuo computer è infetto.

RIMUOVILO SUBITO

Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Che tipo di malware è Glitch SPY?

Glitch SPY è un Remote Access Trojan (RAT) per Android in grado di eseguire oltre 70 comandi sui dispositivi infetti. Analizzato da Cyble Research and Intelligence Labs, viene distribuito attraverso una piattaforma polacca fraudolenta per l'affitto di appartamenti che induce gli utenti a installare manualmente un APK dannoso. Una volta installato, Glitch SPY offre agli aggressori il controllo completo del dispositivo della vittima, consentendo qualsiasi attività, dalla sorveglianza in tempo reale al furto finanziario.

Malware Glitch SPY RAT distribuito tramite un falso sito web polacco di affitti

Panoramica del malware Glitch SPY RAT

Glitch SPY viene distribuito tramite un sito web fraudolento (tutaj-dompl[.]com) che impersona un legittimo servizio polacco di affitto di appartamenti. I visitatori vengono indotti a scaricare quella che sembra essere un'app mobile, ma il link conduce a un APK dannoso anziché a un'applicazione autentica.

Il file scaricato non è Glitch SPY in sé, ma un dropper noto come Brokewell Android Loader. Presenta una schermata di aggiornamento falsa e convince l'utente ad abilitare l'installazione da origini sconosciute, per poi distribuire silenziosamente il payload di Glitch SPY in background.

Una volta installato, Glitch SPY sfrutta i Servizi di accessibilità di Android per ottenere un controllo profondo a livello di sistema. Ciò consente al malware di automatizzare la concessione delle autorizzazioni, interagire con l'interfaccia del dispositivo ed eseguire azioni senza alcun ulteriore intervento da parte della vittima.

Il RAT supporta oltre 70 comandi, collocandosi tra le minacce Android più capaci. Le funzionalità di sorveglianza includono lo streaming dello schermo in tempo reale, l'acquisizione di screenshot, il keylogging e l'estrazione del testo tramite screen reader. La fotocamera e il microfono possono anche essere attivati da remoto per la sorveglianza audio e video.

Le capacità di furto di dati sono estese. Glitch SPY raccoglie messaggi SMS, contatti, registri delle chiamate, dettagli degli account del dispositivo, posizione GPS e un elenco delle applicazioni installate. Viene monitorato anche il contenuto degli appunti, che alimenta direttamente la funzione di crypto-clipping del malware.

Il crypto-clipper sostituisce silenziosamente gli indirizzi dei portafogli di criptovaluta con quelli controllati dagli aggressori su più formati di blockchain. Qualsiasi pagamento che la vittima tenta di inviare finisce al criminale anziché al destinatario previsto.

Glitch SPY include anche un browser nascosto - un componente fuori schermo in grado di eseguire acquisizioni di account basate sul web dal dispositivo e dall'indirizzo IP della vittima stessa. Poiché le richieste provengono dal telefono della vittima, i sistemi di rilevamento delle frodi che segnalano dispositivi o posizioni non familiari hanno meno probabilità di rilevare l'attività.

Le operazioni sui file completano il set di strumenti del malware. Glitch SPY può gestire, caricare ed eseguire file sul dispositivo e può crittografare o decrittografare i dati utilizzando la crittografia AES/GCM. Tutta la comunicazione di comando e controllo avviene tramite connessioni WebSocket persistenti verso due server noti.

L'infrastruttura di supporto include un pannello di amministrazione con moduli per creare nuovi payload, gestire i dispositivi infetti, eseguire un cryptor e configurare le campagne. Ciò indica che Glitch SPY è progettato come una piattaforma multi-campagna piuttosto che come uno strumento monouso.

È bene sottolineare che gli sviluppatori di malware aggiornano e migliorano regolarmente il loro software, quindi le versioni future di Glitch SPY potrebbero presentare capacità aggiuntive o diverse. In sintesi, avere questo RAT su un dispositivo può comportare gravi violazioni della privacy, perdite finanziarie, acquisizioni di account e furto di identità.

Riepilogo della minaccia:
Nome Glitch SPY remote access trojan
Tipo Di Minaccia Malware Android, applicazione dannosa, Remote Access Trojan, Remote Administration Tool, RAT.
Nomi Di Rilevamento Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.SpyAgent.NU), ESET-NOD32 (Android/Spy.Agent.GIE Trojan), Kaspersky (HEUR:Trojan.AndroidOS.Boogr.gsh), Elenco Completo (VirusTotal)
Sintomi Il dispositivo è lento, le impostazioni di sistema vengono modificate senza il permesso dell'utente, compaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta significativamente, i browser reindirizzano verso siti web discutibili, vengono recapitate pubblicità intrusive.
Metodi Di Distribuzione Siti web dannosi, download di APK fraudolenti, ingegneria sociale.
Danni Informazioni personali rubate (messaggi privati, login/password, ecc.), prestazioni del dispositivo ridotte, batteria che si scarica rapidamente, velocità di Internet ridotta, ingenti perdite di dati, perdite economiche, identità rubata (le app dannose potrebbero abusare delle app di comunicazione).
Rimozione dei malware (Windows)

Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner.

Scarica Combo Cleaner

Lo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Esempi di trojan di accesso remoto specifici per Android

Glitch SPY è un RAT notevolmente avanzato, che combina una catena di distribuzione basata su dropper, un ampio abuso del Servizio di accessibilità e un browser nascosto per acquisizioni di account furtive. Detto questo, condivide lo stesso modello di minaccia sottostante di molti RAT Android i cui obiettivi principali sono la sorveglianza e la frode finanziaria.

Esempi di trojan di accesso remoto simili che prendono di mira Android includono BTMOB, Mirax e SURXRAT. Tutte queste minacce possono causare gravi danni, e si consiglia vivamente una rimozione tempestiva utilizzando uno strumento di sicurezza affidabile.

Come si è infiltrato Glitch SPY RAT nel mio dispositivo?

Glitch SPY raggiunge le vittime tramite un falso sito polacco di affitto di appartamenti (tutaj-dompl[.]com). Il sito si presenta come una piattaforma immobiliare legittima e promuove il download di un'app mobile, ma il file che fornisce è un APK dannoso, non un'applicazione reale.

Quell'APK contiene il Brokewell Android Loader, un dropper che mostra una convincente schermata di aggiornamento falsa. Richiede l'autorizzazione a installare app da origini sconosciute e, una volta concessa, distribuisce silenziosamente il payload di Glitch SPY in background.

Dopo l'installazione, la falsa app richiede l'accesso ai Servizi di accessibilità di Android. Concedere questa autorizzazione dà al malware un controllo profondo del dispositivo e completa l'infezione.

Più in generale, il malware Android si diffonde anche tramite campagne di phishing, app store non ufficiali e falsi prompt di aggiornamento software. Qualsiasi applicazione proveniente da canali non ufficiali comporta un rischio elevato.

Come evitare l'installazione di malware?

Scaricate le app esclusivamente dal Google Play Store ufficiale o dai siti di sviluppatori verificati. L'impostazione «Installa da origini sconosciute» dovrebbe rimanere disabilitata in quasi tutte le situazioni - è la principale porta d'accesso che minacce come Glitch SPY utilizzano per aggirare le protezioni di sicurezza integrate di Android.

Prima di installare qualsiasi app, esaminate le sue autorizzazioni e controllate le recensioni degli utenti. Prestate attenzione alle piattaforme immobiliari, alle app bancarie o ad altri servizi finanziari promossi tramite annunci o link non richiesti. Mantenere aggiornati Android e tutte le app installate, insieme a uno strumento di sicurezza mobile affidabile, riduce significativamente le probabilità di infezione.

Screenshot del processo di distribuzione e installazione di Glitch SPY RAT (fonte: cyble.com):

Processo di installazione di Glitch SPY RAT - la falsa app TutajDom richiede l'autorizzazione per le origini sconosciute e l'accesso all'accessibilità

Screenshot del falso sito web Tutaj Dompl utilizzato per diffondere Glitch SPY:

Falso sito web di download Tutaj Dompl che diffonde Glitch SPY

Screenshot del pannello di amministrazione web di Glitch SPY RAT:

Pannello di amministrazione web di Glitch SPY RAT

Menu rapido:

Eliminare la cronologia di navigazione dal browser Chrome:

Eliminazione della cronologia di navigazione web da Chrome nel sistema operativo Android (passaggio 1)

Toccate il pulsante «Menu» (tre puntini nell'angolo in alto a destra dello schermo) e selezionate «Cronologia» nel menu a discesa che si apre.

Eliminazione della cronologia di navigazione web da Chrome nel sistema operativo Android (passaggio 2)

Toccate «Cancella dati di navigazione», selezionate la scheda «AVANZATE», scegliete l'intervallo di tempo e i tipi di dati che desiderate eliminare e toccate «Cancella dati».

[Torna al Sommario]

Disabilitare le notifiche del browser nel browser Chrome:

Disabilitazione delle notifiche del browser nel browser Chrome nel sistema operativo Android (passaggio 1)

Toccate il pulsante «Menu» (tre puntini nell'angolo in alto a destra dello schermo) e selezionate «Impostazioni» nel menu a discesa che si apre.

Disabilitazione delle notifiche del browser nel browser Chrome nel sistema operativo Android (passaggio 2)

Scorrete verso il basso finché non vedete l'opzione «Impostazioni sito» e toccatela. Scorrete verso il basso finché non vedete l'opzione «Notifiche» e toccatela.

Disabilitazione delle notifiche del browser nel browser Chrome nel sistema operativo Android (passaggio 3)

Trovate i siti web che recapitano notifiche del browser, toccateli e cliccate su «Cancella e reimposta». Ciò rimuoverà le autorizzazioni concesse a questi siti web per recapitare notifiche. Tuttavia, una volta che visitate nuovamente lo stesso sito, potrebbe richiedere nuovamente l'autorizzazione. Potete scegliere se concedere o meno queste autorizzazioni (se scegliete di rifiutare, il sito web andrà nella sezione «Bloccati» e non vi chiederà più l'autorizzazione).

[Torna al Sommario]

Ripristinare il browser Chrome:

Ripristino del browser Chrome allo stato predefinito nel sistema operativo Android (passaggio 1)

Andate su «Impostazioni», scorrete verso il basso finché non vedete «App» e toccatela.

Ripristino del browser Chrome allo stato predefinito nel sistema operativo Android (passaggio 2)

Scorrete verso il basso finché non trovate l'applicazione «Chrome», selezionatela e toccate l'opzione «Archiviazione».

Ripristino del browser Chrome allo stato predefinito nel sistema operativo Android (passaggio 3)

Toccate «GESTISCI ARCHIVIAZIONE», poi «CANCELLA TUTTI I DATI» e confermate l'azione toccando «OK». Notate che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete anche effettuare nuovamente l'accesso a tutti i siti web.

[Torna al Sommario]

Eliminare la cronologia di navigazione dal browser Firefox:

Eliminare la cronologia di navigazione da Firefox nel sistema operativo Android (passaggio 1)

Toccate il pulsante «Menu» (tre puntini nell'angolo in alto a destra dello schermo) e selezionate «Cronologia» nel menu a discesa che si apre.

Eliminare la cronologia di navigazione da Firefox nel sistema operativo Android (passaggio 2)

Scorrete verso il basso finché non vedete «Cancella dati privati» e toccatelo. Selezionate i tipi di dati che desiderate rimuovere e toccate «CANCELLA DATI».

[Torna al Sommario]

Disabilitare le notifiche del browser nel browser Firefox:

Disabilitare le notifiche del browser nel browser Firefox nel sistema operativo Android (passaggio 1)

Visitate il sito web che recapita le notifiche del browser, toccate l'icona visualizzata a sinistra della barra dell'URL (l'icona non sarà necessariamente un «Lucchetto») e selezionate «Modifica impostazioni sito».

Disabilitare le notifiche del browser nel browser Firefox nel sistema operativo Android (passaggio 2)

Nel pop-up che si apre, selezionate l'opzione «Notifiche» e toccate «CANCELLA».

[Torna al Sommario]

Ripristinare il browser Firefox:

Ripristino del browser Firefox nel sistema operativo Android (passaggio 1)

Andate su «Impostazioni», scorrete verso il basso finché non vedete «App» e toccatela.

Ripristino del browser Firefox nel sistema operativo Android (passaggio 2)

Scorrete verso il basso finché non trovate l'applicazione «Firefox», selezionatela e toccate l'opzione «Archiviazione».

Ripristino del browser Firefox nel sistema operativo Android (passaggio 3)

Toccate «CANCELLA DATI» e confermate l'azione toccando «ELIMINA». Notate che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete anche effettuare nuovamente l'accesso a tutti i siti web.

[Torna al Sommario]

Disinstallare applicazioni potenzialmente indesiderate e/o dannose:

Rimozione di applicazioni indesiderate/dannose dal sistema operativo Android (passaggio 1)

Andate su «Impostazioni», scorrete verso il basso finché non vedete «App» e toccatela.

Rimozione di applicazioni indesiderate/dannose dal sistema operativo Android (passaggio 2)

Scorrete verso il basso finché non vedete un'applicazione potenzialmente indesiderata e/o dannosa, selezionatela e toccate «Disinstalla». Se, per qualche motivo, non riuscite a rimuovere l'app selezionata (ad es. viene visualizzato un messaggio di errore), dovreste provare a utilizzare la «Modalità provvisoria».

[Torna al Sommario]

Avviare il dispositivo Android in «Modalità provvisoria»:

La «Modalità provvisoria» nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. Utilizzare questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad es. rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona «normalmente»).

Avvio del dispositivo Android in Modalità provvisoria

Premete il pulsante «Accensione» e tenetelo premuto finché non vedete la schermata «Spegni». Toccate l'icona «Spegni» e tenetela premuta. Dopo qualche secondo apparirà l'opzione «Modalità provvisoria» e potrete eseguirla riavviando il dispositivo.

[Torna al Sommario]

Controllare l'utilizzo della batteria delle varie applicazioni:

Controllo dell'utilizzo della batteria delle varie applicazioni nel sistema operativo Android (passaggio 1)

Andate su «Impostazioni», scorrete verso il basso finché non vedete «Manutenzione dispositivo» e toccatelo.

Controllo dell'utilizzo della batteria delle varie applicazioni nel sistema operativo Android (passaggio 2)

Toccate «Batteria» e controllate l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per utilizzare la minor quantità di energia possibile al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un elevato utilizzo della batteria potrebbe indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controllare l'utilizzo dei dati delle varie applicazioni:

Controllo dell'utilizzo dei dati delle varie applicazioni nel sistema operativo Android (passaggio 1)

Andate su «Impostazioni», scorrete verso il basso finché non vedete «Connessioni» e toccatelo.

Controllo dell'utilizzo dei dati delle varie applicazioni nel sistema operativo Android (passaggio 2)

Scorrete verso il basso finché non vedete «Utilizzo dati» e selezionate questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un enorme utilizzo dei dati potrebbe indicare la presenza di un'applicazione dannosa. Notate che alcune applicazioni dannose potrebbero essere progettate per operare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, dovreste controllare l'utilizzo dei dati sia Mobile che Wi-Fi.

Controllo dell'utilizzo dei dati delle varie applicazioni nel sistema operativo Android (passaggio 3)

Se trovate un'applicazione che utilizza molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installare gli ultimi aggiornamenti software:

Mantenere il software aggiornato è una buona pratica quando si tratta della sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android al fine di correggere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, motivo per cui dovreste sempre assicurarvi che il software del vostro dispositivo sia aggiornato.

Installazione degli aggiornamenti software nel sistema operativo Android (passaggio 1)

Andate su «Impostazioni», scorrete verso il basso finché non vedete «Aggiornamento software» e toccatelo.

Installazione degli aggiornamenti software nel sistema operativo Android (passaggio 2)

Toccate «Scarica aggiornamenti manualmente» e controllate se sono disponibili aggiornamenti. In tal caso, installateli immediatamente. Vi consigliamo inoltre di abilitare l'opzione «Scarica aggiornamenti automaticamente» - consentirà al sistema di notificarvi quando viene rilasciato un aggiornamento e/o di installarlo automaticamente.

[Torna al Sommario]

Ripristinare il sistema allo stato predefinito:

Eseguire un «Ripristino dati di fabbrica» è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni di sistema ai valori predefiniti e pulire il dispositivo in generale. Tuttavia, dovete tenere presente che tutti i dati all'interno del dispositivo verranno eliminati, comprese foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà ripristinato al suo stato originale.

Potete anche ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.

Ripristino del sistema operativo Android ai valori predefiniti (passaggio 1)

Andate su «Impostazioni», scorrete verso il basso finché non vedete «Info sul telefono» e toccatelo.

Ripristino del sistema operativo Android ai valori predefiniti (passaggio 2)

Scorrete verso il basso finché non vedete «Ripristina» e toccatelo. Ora scegliete l'azione che desiderate eseguire:
«Ripristina impostazioni» - ripristina tutte le impostazioni di sistema ai valori predefiniti;
«Ripristina impostazioni di rete» - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
«Ripristino dati di fabbrica» - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;

[Torna al Sommario]

Disabilitare le applicazioni che hanno privilegi di amministratore:

Se un'applicazione dannosa ottiene privilegi a livello di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, dovreste sempre controllare quali app hanno tali privilegi e disabilitare quelle che non dovrebbero averli.

Disabilitazione delle applicazioni Android che hanno privilegi di amministratore (passaggio 1)

Andate su «Impostazioni», scorrete verso il basso finché non vedete «Schermata di blocco e sicurezza» e toccatelo.

Disabilitazione delle applicazioni Android che hanno privilegi di amministratore (passaggio 2)

Scorrete verso il basso finché non vedete «Altre impostazioni di sicurezza», toccatelo e poi toccate «App amministrazione dispositivo».

Disabilitazione delle applicazioni Android che hanno privilegi di amministratore (passaggio 3)

Identificate le applicazioni che non dovrebbero avere privilegi di amministratore, toccatele e poi toccate «DISATTIVA».

Domande frequenti (FAQ)

Il mio dispositivo Android è infetto dal malware Glitch SPY RAT, devo formattare il mio dispositivo di archiviazione per liberarmene?

La formattazione è raramente necessaria per rimuovere il malware Android. L'esecuzione di un'applicazione di sicurezza mobile affidabile come Combo Cleaner dovrebbe essere sufficiente per rilevare ed eliminare Glitch SPY dal vostro dispositivo.

Quali sono i maggiori problemi che il malware Glitch SPY RAT può causare?

Glitch SPY offre agli aggressori un controllo quasi completo su un dispositivo infetto. Può rubare messaggi SMS, contatti e credenziali degli account, registrare le sequenze di tasti, acquisire audio e video e monitorare il contenuto degli appunti.

Il crypto-clipper del malware reindirizza silenziosamente i pagamenti di criptovaluta verso portafogli controllati dagli aggressori. Il suo componente browser nascosto può anche eseguire acquisizioni di account direttamente dal dispositivo della vittima, aggirando molti sistemi di rilevamento delle frodi.

Qual è lo scopo del malware Glitch SPY RAT?

La maggior parte del malware è motivata dal guadagno finanziario. Le funzionalità di crypto-clipping e di furto di dati di Glitch SPY suggeriscono che il profitto sia il motivo principale, sebbene gli aggressori possano anche utilizzarlo per spionaggio mirato, tracciamento di individui o altre ragioni personali.

Come si è infiltrato il malware Glitch SPY RAT nel mio dispositivo Android?

Glitch SPY viene diffuso tramite un falso sito web polacco di affitto di appartamenti. I visitatori vengono ingannati e indotti a scaricare un APK dannoso che contiene il Brokewell Android Loader, che installa silenziosamente Glitch SPY fingendo di eseguire un legittimo aggiornamento dell'app.

Combo Cleaner mi proteggerà dal malware?

Combo Cleaner è in grado di rilevare ed eliminare quasi tutte le infezioni malware note. Si consiglia di eseguire una scansione completa del sistema, poiché minacce sofisticate come Glitch SPY spesso si annidano in profondità all'interno del dispositivo.

Condividi:

facebook
X (Twitter)
linkedin
copia link
Tomas Meskauskas

Tomas Meskauskas

Esperto ricercatore nel campo della sicurezza, analista professionista di malware

Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.

▼ Mostra Discussione

Il portale di sicurezza PCrisk è offerto dalla società RCS LT.

I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.

Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.

Donazione