Ancora una volta le App infette fanno notizia. Soltanto il mese scorso un’applicazione con oltre 50 milioni di download è stata infettata dal famigerato virus spyware Triout, in grado di spiare tutte le azioni compiute da una persona con il proprio smartphone. Si è trattato in quel caso dell’App Psiphon utilizzata principalmente nei Paesi sotto censura dove non è possibile collegarsi a Internet né avere un accesso libero al Google Play Store. Eppure i ricercatori di Bitdefender hanno scovato il codice malevolo sofisticato e per questo idoneo ad essere impiegato anche in azioni di spionaggio internazionale.
Exodus ha spiato 1000 italiani
Oggi, a finire sul banco degli imputati è Exodus, uno spyware in grado di rubare foto, conversazioni e informazioni dagli smartphone con sistema operativo Android. Sempre più spesso ormai hacker governativi o hacker legati a organizzazioni criminali riescono a caricare malware sul Play Store ufficiale di Google che evidentemente ha filtri inefficaci, ove si consideri che più di 20 app malevole sono passate inosservate nello Store per un periodo di circa due anni.
A scoprire il virus in questo caso gli esperti di Security Without Borders e Motherboard
Il codice malevolo si celava all’interno del software di un’applicazione che sarebbe stata sviluppata da un’azienda di Catanzaro, liberamente scaricabile dal Play Store ufficiale di Google, nel cui contesto risultava inserita, spesso camuffata da applicazione di servizio di operatori telefonici o da app che migliorano le performances dei dispositivi. I ricercatori Security Without Borders e Motherboard hanno rilevato che lo spyware, una volta eseguito il download dell’applicazione, è in grado di acqisire ed inviare tutte le informazioni presenti nello smartphone infettato.
Scoperte almeno 25 varianti di software
Sono state scoperte almeno 25 varianti di software che risulta utilizzato a partire dal 2016 e, stando a quanto ha fatto sapere Google, che frattanto ha dichiarato di avere disabilitato tutti i malware, avrebbe infettato i dispositivi di circa mille utenti italiani.
Il funzionamento del codice malevolo è pervasivo ed efficace
Eseguito il download dell’app, il virus acquisisce il codice univoco del dispositivo (IMEI) ed il numero di telefono associato alla scheda Sim, per inviarli al server di Command & Control in attesa della validazione per l’intercettazione. Secondo quanto rilevato dagli esperti è proprio la fase di validazione che sarebbe stata bypassata dal virus che, automaticamente procedeva all’intrusione (in modalità spy) nei contenuti del dispositivo.
E non solo!
Infatti, lo spyware è tecnicamente idoneo a servirsi del device infettato anche per intercettazioni ambientali, attraverso l’attivazione dei microfoni e delle registrazioni, ovvero per scattare fotografie o eseguire registrazioni video e acquisire i contenuti multimediali di WhatsApp. Anche durante la fase di stand by dello smartphone e persino in modalità di risparmio energetico, riesce ad accedere al registro delle chiamate telefoniche, alla cronologia dei browser, alle informazioni del calendario, alla geolocalizzazione e ai log di Facebook Messenger ed instant messanging.
La eSurv ha anche vinto un bando della Polizia di Stato per lo sviluppo di un sistema di intercettazione passiva e attiva
Exodus, stando a quanto rilevato dagli esperti, sarebbe riconducibile alla Società eSurv di Catanzaro, tradita sia dall’uso dall’espressione dialettale tipicamente calabrese “mundizza” presente nel codice del software sia dall’uso della chiave “Rino Gattuso” collegato alle radici del campione, ma in modo più significativo, dall’analisi dei server di destinazione delle informazioni intercettate dai captatori informatici, che erano i medesimi utilizzati dall’azienda per i propri sistemi di videosorveglianza con i quali condividevano il certificato web TLS.
La riforma Orlando e le perplessità dell’Autorità Garante
Va ricordato che nel nostro Paese la riforma Orlando, adottata con L. 29.12.2017 n. 216, ha introdotto il captatore informatico come uno strumento di indagine e, tenuto conto delle elevate potenzialità intrusive dello strumento intercettivo, nonché della idoneità tecnica all’esfiltrazione di dati personali anche sensibili, lo schema di riforma è stato sottoposto al parere dell’Autorità Garante.
E proprio il Garante manifestava già perplessità in ordine alla formulazione dell´articolo 4, comma 1, lett. e), nella parte in cui, introducendo il comma 1-bis all´articolo 271 c.p.p., prevedeva l´inutilizzabilità dei dati acquisiti nel corso delle operazioni preliminari (non chiaramente specificate) all´inserimento del captatore informatico sul dispositivo elettronico portatile , nonché dei dati acquisiti al di fuori dei limiti di tempo e luogo indicati nel decreto autorizzativo (invero nemmeno acquisibili).
Per tali ragioni il Garante invitava a valutare l’opportunità di sopprimere o comunque di chiarire con maggiore dettaglio, il comma 1-bis introdotto, all´articolo 271 c.p.p., dall´articolo 4, comma 1, lett. e), dello schema.
Malgrado i successivi adeguamenti lo strumento captatore resta certamente tra i più pervasivi e controversi, ove utilizzato con finalità intrusive, non legittimate, perpetrate attraverso l’installazione di applicazioni camuffate contenenti codici malevoli spyware che, nel caso che ci occupa, riescono anche a superare i filtri di controllo di Google. Per questo è importante, aumentare i livelli di consapevolezza del rischio e divulgare la cultura della sicurezza soprattutto nelle nuove generazioni dei cosiddetti nativi digitali.