Navigaweb.net logo

Ricerca di app spia e controllo permessi speciali su Android

Aggiornato il: Scritto Da: - @pomhey
Riassumi con:
scovare malware e app spia su Android analizzando permessi, consumi e processi. Strumenti open source consigliati e pulizia manuale
Rimuovere virus Android

Quando uno smartphone inizia a comportarsi in modo anomalo—la batteria che crolla senza motivo, dati mobili che si consumano da soli o il dispositivo che resta caldo anche in stand-by—il sospetto di un "ospite indesiderato" è legittimo. Spesso l'istinto è scaricare il primo antivirus gratuito che appare sullo store, ma questa non è sempre la mossa vincente: molte app di sicurezza sono pesanti, piene di pubblicità e inefficaci contro gli spyware commerciali moderni.

Per risolvere davvero il problema serve un approccio analitico, andando a scovare manualmente i segnali che le app spia e i malware lasciano nel sistema. Anche il software più invisibile deve, per forza di cose, consumare risorse e chiedere permessi per funzionare. In questa guida seguiremo la rotta di Navigaweb per ripulire il dispositivo, partendo dai controlli manuali sui processi fino all'uso di strumenti open source trasparenti e specifici.

LEGGI ANCHE -> 5 precauzioni per la banca online dallo smartphone

1. Analisi dei consumi: Il tracciamento delle risorse

Prima di installare qualsiasi software esterno, è doveroso interrogare il sistema operativo. I malware, per inviare i dati rubati (foto, audio, posizione) a un server esterno, devono usare la rete e il processore.
  • Verifica l'uso dei Dati: Accedendo a Impostazioni > Rete e Internet > Utilizzo dati (o Connessione e condivisione), è possibile controllare l'elenco delle app per consumo Wi-Fi e Mobile. Bisogna cercare nomi generici come "System Service", "Google Update" (spesso falsi) o app semplici come una calcolatrice o una torcia che hanno consumato centinaia di MB. Un'app che non fa streaming video non dovrebbe mai avere un consumo dati elevato.
  • Verifica il "Deep Sleep": Un telefono sano, quando lo schermo è spento, dovrebbe andare in una modalità di basso consumo chiamata Deep Sleep. Le app spia impediscono questo stato per continuare a registrare. In Impostazioni > Batteria, se si nota che il telefono è rimasto "Attivo" per ore anche a schermo spento, c'è un processo nascosto (wakelock) in esecuzione.

2. I permessi speciali: Dove si nascondono le spie moderne

I malware attuali, come i trojan bancari o gli stalkerware, non si limitano a chiedere l'accesso alla fotocamera. Cercano di ottenere il controllo totale del dispositivo sfruttando funzioni di sistema avanzate, spesso raggruppate nel menu Accesso speciale alle app.

Amministratori del dispositivo

Questo permesso impedisce la disinstallazione standard di un'app. Si trova solitamente in Impostazioni > Sicurezza > App di amministrazione dispositivo. Qui dovrebbero comparire solo app note come "Trova il mio dispositivo" di Google o gestori aziendali. Qualsiasi altra app presente in questa lista va disattivata immediatamente per poterne poi forzare la rimozione.

Accessibilità (Il vettore di attacco principale)

I malware usano i "Servizi di Accessibilità" (nati per aiutare persone con disabilità) per leggere tutto ciò che appare sullo schermo e simulare il tocco dell'utente. Controllando in Impostazioni > Accessibilità, è necessario verificare la sezione "App scaricate" o "Servizi installati". Se è attivo un servizio con un nome sconosciuto o che imita un componente di sistema, è quasi certamente un malware che sta intercettando i tasti digitati (keylogger).

Accesso alle Notifiche e agli SMS

Molti virus bancari non cercano di rubare la password, ma intercettano il codice di conferma (OTP) che arriva via SMS o notifica. Verificare in Impostazioni > App > Accesso speciale alle app > Accesso alle notifiche. Se un'app che non è uno smartwatch o il launcher di sistema ha questo permesso, può leggere e cancellare le notifiche bancarie prima che l'utente le veda.

3. Codici MMI: Verificare le deviazioni di chiamata

Gli spyware meno recenti o quelli impostati manualmente da qualcuno che ha avuto accesso fisico al telefono possono utilizzare la deviazione chiamate per ascoltare conversazioni o dirottare SMS. Digitando questi codici nel dialer telefonico (la tastiera per comporre i numeri) e premendo invio, si possono ottenere informazioni nascoste:
  • *#21#: Interroga lo stato della deviazione incondizionata. Se appare un numero di telefono diverso da quello del gestore, chiamate e messaggi vengono inviati a quel numero.
  • ##002#: Questo è il codice di bonifica universale. Digitando e chiamando questo codice, la rete azzera tutte le deviazioni di chiamata attive. È una procedura consigliata da eseguire periodicamente come prevenzione.

4. Strumenti di rilevamento Open Source (FOSS)

Invece di affidarsi ad antivirus commerciali che spesso vendono i dati degli utenti o offrono una protezione superficiale, è preferibile utilizzare strumenti open source auditabili e leggeri.

Hypatia: Scansione malware in tempo reale

A differenza degli antivirus pesanti, Hypatia è uno scanner malware open source estremamente leggero. Utilizza i database di firme di ClamAV e altri registri locali per identificare minacce note. Non ha impatto sulla batteria ed esegue scansioni rapide alla ricerca di file APK infetti o librerie malevole all'interno delle app installate.

TrackerControl: Monitorare il traffico in uscita

Spesso il problema non è un virus distruttivo, ma un'app "legittima" che invia troppi dati personali a server in Cina, Russia o Stati Uniti. TrackerControl permette di analizzare e bloccare il traffico nascosto delle app. Utilizzando la funzione VPN locale di Android (quindi non utilizzabile insieme a un'altra VPN), mostra una mappa di tutte le connessioni che le app tentano di stabilire all'insaputa dell'utente, permettendo di bloccare selettivamente i tracciatori.

Permission Manager X: Audit dei permessi

Per avere una visione d'insieme senza navigare in mille sottomenu, Permission Manager X offre una tabella chiara di chi può fare cosa. È utile per individuare a colpo d'occhio, ad esempio, tutte le app che hanno accesso al microfono o alla posizione in background e revocare i permessi sospetti in massa.

5. La soluzione radicale: Ripristino intelligente

Se i passaggi precedenti hanno rilevato minacce che non si riescono a rimuovere (perché installate come app di sistema o rootkit), l'unica via sicura è il ripristino ai dati di fabbrica. Tuttavia, l'errore comune è ripristinare un backup completo subito dopo. La procedura corretta prevede:
  1. Salvare manualmente solo foto, video e documenti su un supporto esterno o cloud (Google Photos/Drive).
  2. Non eseguire il backup delle app.
  3. Andare su Impostazioni > Sistema > Opzioni di reimpostazione > Cancella tutti i dati.
  4. Durante la configurazione iniziale del telefono pulito, rifiutare il ripristino automatico delle app da Google. Le app vanno reinstallate una ad una dal Play Store, verificando che il problema non si ripresenti. Questo isola l'eventuale app infetta che si nascondeva nel vecchio backup.

Prevenire infezioni sul telefono


Dentro il sistema Android ed integrato in ogni smartphone c'è un sistema di protezione chiamato Google Play Protect>, che si può controllare dalle impostazioni di sicurezza.

Play Protect non ha soltanto ha la capacità di bloccare le app rilevate come pericolose e l'installazione di applicazioni dannose provenienti da Google Play o anche da altre fonti o installazioni manuali.
La schermata che permette di controllare come Play Protect sta lavorando e con le opzioni per disattivarlo non si troverà, quindi, in un'app separata, ma potrà essere visualizzata dentro le impostazioni del Google Play Store oppure nelle Impostazioni di Sicurezza di Android
Aprire quindi lo Store Google Play sul telefono o sul tablet, toccare in alto a destra sull'icona del proprio profilo e poi sulla scritta Play Protect. Subito verrà visualizzato lo stato delle app installate, se ce ne sono di dannose o se sono tutte buone. Si può anche fare la scansione manuale premendo il relativo tasto.

Ci sono poi anche gli antivirus gratuiti per Android, molto potenti ed efficaci, che possono essere utilizzati per fare un controllo ogni tanto (ma che personalmente non terrei attivi sul telefono tutto il tempo). Queste applicazioni sono in grado di rilevare tutte quelle app che possono accedere alle informazioni personali, che possono monitorare la nostra posizione, sapere i dettagli delle chiamate, leggere i messaggi ecc.

Permessi amministratori e permessi speciali


Per la massima sicurezza possiamo disattivare le app con permessi di amministratori del dispositivo e disattivare l'installazione di app da fonti esterne che non sono il Google Play Store, come visto nella guida .

Nelle impostazioni > App si possono controllare le autorizzazioni e le app con accesso speciale (questo menù nascosto è da cercare e cambia a seconda del tipo di telefono). Le app con accesso speciale possono ignorare le ottimizzazioni della batteria, l'accesso alle notifiche, l'accesso ai dati illimitato ed anche modificare impostazioni di sistema.

Installare una VPN


I luoghi affollati con il Wi-Fi pubblico sono il posto preferito dagli hacker e dalle spie per infettare dispositivi collegati alla rete. Come precauzioni per non farsi spiare il telefono, una delle più importanti è quella usare un'app VPN per Android.

La migliore app VPN gratuita che possiamo provare è Atlas VPN, che fornisce 5 GB di dati gratuiti ogni mese e 3 server ad alta velocità.

Controllare gli aggiornamenti


Controllare gli aggiornamenti su Samsung e cellulari Android è fondamentale per installare le patch ai bug di sicurezza, che possono essere sfruttati da siti web, app e hacker per infettare lo smartphone di chiunque.

Altro da sapere

  • Google Play Protect è sufficiente? È una base di partenza necessaria, ma non infallibile. Play Protect è efficace contro malware noti, ma spesso fallisce nel rilevare gli "stalkerware" (app spia commerciali) se questi vengono presentati come strumenti di parental control o antifurto.
  • La modalità provvisoria aiuta a capire se ho un virus? Sì, è il test decisivo. Riavviando in modalità provvisoria (solitamente tenendo premuto il tasto accensione fisico e poi premendo a lungo sull'icona "Spegni" a schermo), vengono caricate solo le app di fabbrica. Se in questa modalità il telefono è veloce, non si scalda e non appaiono pubblicità, la colpa è matematicamente di un'app installata dall'utente.
  • Posso prendere un virus aprendo solo un sito web? Sui moderni Android è molto raro (drive-by download), a meno che il browser e il sistema non siano gravemente obsoleti. Nella quasi totalità dei casi, l'infezione avviene perché l'utente è stato indotto con l'inganno a scaricare un file APK o ad accettare una notifica ingannevole ("Il tuo telefono è infetto, clicca qui").

Per approfondire possiamo leggere la guida su Google Play Services per aggiornare Android e proteggere il cellulare.





Posta un commento


0%