InstaAgent è una pericolosa applicazione presente su App Store che si connette ad Instagram violando gli account e rubando username e password.
InstaAgent permette di scoprire chi visita il nostro profilo ed anche chi smette di seguirci ma cela, dietro questa apparentemente interessante curiosità, un pericolo maggiore.
L’applicazione, oltre a farsi pagare per acquisti in-app, a quanto pare è stata sviluppata con la versione “truccata” di Xcode, ribattezzato in XcodeGhost, e sembra riuscire a memorizzare gli username e le password di un utente per inviarle ad un server remoto sospetto con lo stesso dominio del sito di supporto ma irraggiungibile sia da PC che da smartphone.
Uno sviluppatore di PepperSoft ha scaricato InstaAgent – il cui nome completo è “Who Viewed Your Profile – InstaAgent” – ed ha scoperto che l’applicazione registra il nome utente e la password dell’utente che la installa, inserendola in chiaro all’interno di un file di testo che viene spedito ad un server remoto “instagram.zunamedia.com”.
InstaAgent inoltre, utilizza le credenziali di accesso per entrare negli account e pubblicare immagini non autorizzate, violando anche le regole del social network che non consente l’uso di applicazioni di terze parti per caricare foto per gli account.
Anche se l’applicazione non ha avuto particolare successo negli Stati Uniti, è invece molto popolare nel Regno Unito e in Canada dove si trova al primo posto della classifica app gratuite. Migliaia di download che mettono a serio rischio l’integrità degli account di chi la sta utilizzando.
I would say “Who Viewed Your Profile – InstaAgent” is the first malware in the iOS Appstore that is downloaded half a million times.
— David L-R (@PeppersoftDev) 10 Novembre 2015
In Google Play Store InstaAgent è stata scaricata tra le 100mila e 500mila volte e la stessa cifra potrebbe riguardare gli utenti iOS.
Google ha prontamente rimosso InstaAgent dal proprio store poi Apple ha fatto lo stesso.
Chiunque abbia scaricato InstaAgent dovrebbe eliminarla immediatamente e modificare al più presto la propria password d’accesso ad Instagram e, nel caso si utilizzi la stessa password di Instagram anche per altri account, sarebbe opportuno cambiarla ovunque per precauzione.
Consigliamo inoltre di utilizzare un’applicazione per la gestione delle password come 1Password, che permette di generare password complesse ed uniche per ogni sito o servizio.
Infine, come suggerisce anche Instagram, sarebbe opportuno evitare di installare applicazioni di terze parti che tentano di connettersi al social network senza seguire le regole. Ci sono forse centinaia di applicazioni che promettono di fornire dati sui followers di Instagram o altri vantaggi ma dovrebbero essere accuratamente evitate perché, proprio come InstaAgent, potrebbero essere un tentativo di utilizzare l’account degli utenti in modo inappropriato.
Via | MacRumors
Leggi o Aggiungi Commenti