Non possiamo più fidarci di nessuno! Ad Aprile sono state scoperte centinaia di app sul Play Store contenenti un software che ha spiato gli ignari utenti. L’autore? eSurv, azienda di sicurezza che collabora con le forze dell’ordine italiane.
Come è possibile che una serie di app contenenti un virus in grado di spiare gli utenti siano rimaste sul negozio ufficiale delle app Android per due anni prima che qualcuno si accorgesse della cosa? È quello che si stanno chiedendo molti esperti di sicurezza, insieme alla procura di Napoli che sull’accaduto ha aperto un fascicolo. La buona notizia è che a quanto pare in tutto questo tempo queste applicazioni sono state scaricate un numero limitato di volte, meno di mille in totale secondo Google, ma questo non basta a consolarci. Anzi, desta ancora più preoccupazione il fatto che l’azienda che le ha sviluppate, l’italianissima eSurv, non è la copertura usata da un gruppo di delinquenti informatici, ma una realtà che collabora con le forze dell’ordine italiane.
Il fatto che le autorità possano in certi casi spiare i cittadini non ci sorprende, sia chiaro: per quanto possa spaventare è un fatto normale, che avviene con una certa frequenza ma sempre dietro l’autorizzazione di un magistrato. Quello che lascia a bocca aperta è il fatto che questi strumenti non siano stati usati in maniera mirata, per esempio per mettere sotto controllo uno spacciatore o un personaggio sospettato di intrattenere rapporti con organizzazioni mafiose, ma siano state pubblicate su uno store ufficiale, esponendo i cittadini italiani a una potenziale operazione di sorveglianza di massa. Non ci sono elementi per dire che le autorità siano coinvolte nell’accaduto ma fa riflettere il fatto che questa potenziale “arma” sia di fatto sfuggita al loro controllo.
Facendo un paragone azzardato, è come se un poliziotto dimenticasse la Beretta d’ordinanza sul tavolo di un bar dopo aver fatto colazione.
Come funziona Exodus?
Se oggi siamo a conoscenza della minaccia lo dobbiamo ai ricercatori della ONG Security Without Borders, che dopo averla scoperta hanno immediatamente allertato Google che ha provveduto immediatamente a rimuovere l’applicazione infetta e altre 25 app contenenti lo stesso spyware, battezzato da chi lo ha scoperto come Exodus. Si tratta di un programma spia decisamente evoluto che una volta entrato in azione è in grado diintercettare i nostri dati più intimi come SMS, telefonate, chat, la cronologia del browser e la posizione del dispositivo. Non solo: può anche attivare il microfono a insaputa dell’utente per origliare quanto accade nelle vicinanze del telefono.
Approfondendo l’analisi, i ricercatori sono anche riusciti a risalire allo sviluppatore, eSurv. Ufficialmente questa ditta italiana realizza sistemi di video sorveglianza ma nel 2017 aveva vinto un bando emesso dalla Polizia di Stato per sviluppare un sistema di intercettazione passiva e attiva. Guarda caso, proprio quello che fa Exodus. Non è la prima volta che le forze dell’ordine affidano a un’azienda terza lo sviluppo di software spia e non sarà l’ultima, però mai era successo che questi strumenti fossero stati distribuiti in maniera indiscriminata come in questo caso.
Non abbiamo alcun indizio per ritenere che la scelta di pubblicare le app malevole sullo store sia stata presa dalla Polizia: può essere stata una decisione autonoma di eSurv. Per avere un quadro più chiaro è necessario attendere il termine delle indagini, attualmente nelle mani del procuratore Giovanni Melillo che ipotizza i reati di introduzione abusiva in sistema informatico e violazione della privacy. nei confronti di Giuseppe Fasano e Salvatore Ansani, Rispettivamente titolare e dirigente di eSurv.
Professionisti sbadati
Riuscire a superare i severi controlli di sicurezza attivi sul Play Store di Google non è uno scherzo: per riuscirci è necessario disporre di ottime competenze informatiche. Più di un dettaglio però fa supporre che i signori dietro a questa operazione non siano particolarmente furbi, come dimostra il fatto che i ricercatori sono riusciti a risalire agli autori in brevissimo tempo.
Per arrivare a scoprirli, il team di Security Without Borders non ha dovuto faticare troppo, però. È bastato analizzare i server che controllavano gli spyware per riscontrare alcuni dettagli che indirizzavano verso eSurv. Il primo indizio è stato il certificato TSL (che garantisce e conferma l’identità di un sito) usato dai server di controllo (detti C&C) del programma spia, che coincide con uno dei quelli usati dai servizi di video sorveglianza usati ufficialmente da eSurv. Non solo: alcuni di questi mostravano il logo dell’azienda. Se non fosse sufficiente uno dei dipendenti di eSurv ha specificato sul suo profilo Linkedin di essere al lavoro su un “agente” applicativo per raccogliere dati dai dispositivi Android e inviarli a un server C&C. Esattamente quello che fa Exodus.
Questo malware riusciva a spiare anche i messaggi cifrati di WhatsApp e Telegram
Altro che assistenza! Assistenza Linea, Assistenza SIM, Promo Offerte… tutte le app contenenti il programma spia erano relative a servizi e offerte telefoniche personalizzate.
Ora il pericolo è scampato, Google ha aggiornato i suoi sistemi di protezione voi ci credete?
Pochi giorni dopo la scoperta di Exodus i ricercatori sono anche riusciti a scoprire l’esistenza di una variante per iOS dello spyware. In questo caso gli autori non sono riusciti a superare i controlli – decisamente più accurati – di Apple e per distribuire l’applicazione hanno utilizzato un escamotage.
Per diffonderlo hanno sfruttato il programma Apple Developer Program, usato dagli sviluppatori per scopi di test o per distribuire app private, non destinate al grande pubblico. Non essendo disponibile su App Store, per farlo installare agli utenti sono state usate tecniche di phishing. Sebbene la variante iOS di Exodus sia meno sofisticata della controparte Android, è sempre in grado di estrarre contatti, registrazioni audio, foto, video, localizzazione GPS e informazioni sullo specifico dispositivo.
Dobbiamo preoccuparci?
Fortunatamente solo un numero estremamente limitato di persone – meno di mille hanno scaricato una delle app infette, quasi tutte relative alle offerte telefoniche. Non abbiamo una lista completa al momento ma possiamo citarele più note: Assistenza Linea, Offerte Speciali, Offerte Telefoniche personalizzate, Servizi Telefonici Premium, Offerte per Te, Assistenza Linea Riattiva, Operatore Italia, Promo Offerte, Assistenza SIM e Offerte Telefoniche per te. Chi avesse scaricato una di queste può comunque dormire sonni tranquilli: i server di controllo tramite i quali era possibile controllare lo spyware sono stati disabilitati quindi la privacy – a oggi – è sicura. Ovviamente non si può dire lo stesso per quanto accaduto in precedenza: alcune di queste sono rimaste nello store per circa due anni e in questo periodo gli attaccanti potrebbero aver collezionato illegalmente una serie di informazioni personali riservate.
Se riteniamo di essere a rischio, cambiamo tutte le password che usiamo di solito per precauzione.
LEGGI ANCHE: Note 9 sconto del 45% ecco come