L'anno scorso vi ho parlato per la prima volta di InstaAgent, un'applicazione disponibile nell'App Store da diversi mesi e progettata per rubare le password Instagram degli utenti di terminali iPhone e iPod Touch, è stata poi rimossa dallo store.
Sebbene Apple lo abbia eliminato dall'App Store nel 2015, l'app InstaAgent è ora tornata nell'app store, ma questa volta si tratta di due applicazioni che implementano questo sistema e che vengono distribuite dallo sviluppatore Turker Bayram con nomi diversi.
Vengono chiamate le nuove applicazioni Chi se ne frega di me – InstaDetector si InstaCare – Chi si prende cura di me, sono disponibili sia sull'App Store che su Google Play, lo scopo è rubare i dati di accesso degli utenti e inviarli ai server dello sviluppatore.
Le applicazioni hanno nella descrizione la promessa di monitorare qualsiasi tipo di visita effettuata da altri utenti Instagram sui post e sulle pagine del profilo di chi utilizza le applicazioni, ma ovviamente non possono essere forniti dati di questo tipo, le applicazioni richiedono il login preventivo con l’account Instagram, a questo punto i dati vengono rubati.
Dando un'occhiata più da vicino all'app iOS ho scoperto che l'app ruba la password e il nome utente di Instagram per inviarli crittografati a server "sconosciuti". L'algoritmo di "furto della password" e la crittografia sembrano essere gli stessi di "InstaCare - Who cares with me?" una nuova app iOS dello sviluppatore "InstaAgent", di cui ho scoperto il comportamento dannoso qualche giorno fa. Un PoC (prova di concetto per la versione iOS) funzionante può essere trovato qui.
Il furto degli account Instagram viene segnalato dagli utenti anche nelle recensioni di App Store e Google Play, ma le applicazioni continuano ad essere disponibili, quindi se qualcuno ti consiglia di installarne qualcuna, ti consiglio di non farlo se desideri essere in grado di utilizzare il tuo account Instagram.
