Lookout, smartphone contagiati da spyware exodus: come difendersi


WhatsApp ha identificato ad inizio mese un difetto di sicurezza avanzato nel suo servizio di messaggistica, confermato dalla società di proprietà di Facebook, che ha consentito agli hacker di installare sui telefoni lo spyware Pegasus sviluppato dealla società israeliana NSO Group. WhatsApp ha invitato i suoi 1,5 miliardi di utenti ad aggiornare la versione più recente dell'app. La notizia fa seguito alla recente scoperta di Exodus, uno spyware che pare essere stato commissionato dalla Polizia di Stato, che è finito sia nel Play Store di Google che su alcuni siti di phishing che si spacciavano per noti provider di telefonia, riuscendo così a contaminare centinaia di utenti italiani.

Adam Bauer, il ricercatore di Lookout Mobile Endpoint Security che ha scoperto lo spyware Exodus, illustra qui i risultati delle sue analisi che sono stati presentati al Kaspersky Security Analyst Summit* di Singapore il mese scorso. “All’inizio dell’anno, Lookout ha scoperto un sofisticato spyware per Android che sembra sia stato creato per intercettazioni da parte della polizia di stato. Lo spyware è stato sviluppato nel corso di almeno cinque anni e opera in tre stadi. Nel primo, vengono catturati numero di telefono e codice IMEI. Successivamente, un payload più grande implementa la maggior parte delle funzioni di sorveglianza. Ed infine, il terzo guadagna l’accesso alla root”, spiega Adam. Numerosi dettagli tecnici indicano che il software malevolo è stato probabilmente prodotto dalla software house calabrese Connexxa Srl. una delle cui ramificazioni, la eSurv Srl, sviluppa software per videosorveglianza e sistemi di image recognition.

Lookout ha avvertito Google della potenziale minaccia subito dopo averla scoperta e assieme, nel corso della seconda metà del 2018, hanno lavorato per rimuovere la app dal Play Store. Le analisi successive hanno portato alla scoperta anche della variante dello spyware per iOS che era possibile scaricare su siti fake che simulavano quelli di provider di telefonia mobile sia italiani che della repubblica Turkmena. La distribuzione agli utenti al di fuori dell’app store di Apple era stata resa possibile dallo sfruttamento dell’Apple Developer Enterprise Program (ADEP). Scopo del programma è quello di permettere alle aziende di distribuire app proprietarie ai loro dipendenti senza il bisogno di ricorrere all’App Store. Una compagnia può ottenere accesso al programma soltanto se risulta conforme ai requisiti richiesti da Apple, tra cui un profilo di mobile provisioning certificato da un’azienda sviluppatrice. In questo caso, la Connexxa Srl.

Lo spyware stesso appariva agli utenti come una app di assistenza dei provider e li istruiva “mantenere l’app installata sul dispositivo e stare sotto copertura wifi in modo da poter essere contattato da un nostro operatore”. La variante per iOS, pur meno sofisticata di quella per Android, era comunque in grado di esfiltrare dati come contatti, registrazioni audio, foto, video, dati di geolocalizzazione, informazioni sul dispositivo, nonché di rendere possibile la registrazione da remoto delle conversazioni. Lookout ha condiviso queste informazioni con Apple ed il falso certificato è stato revocato per impedire l’installazione di qualunque nuova istanza di questa app o bloccarne l’esecuzione se già installata. Di conseguenza, non è possibile installare nuove istanze di questa app su dispositivi iOS e le installazioni esistenti non possono più essere eseguite. Repentina anche l’indagine da parte della Procura della Repubblica di Napoli.

La società calabrese, almeno su Internet, intanto sembra essere scomparsa: al posto del sito web viene visualizzata una pagina bianca. Cresce quindi la preoccupazione relativa alla riservatezza delle nostre conversazioni. Solo pochi giorni prima dell’annuncio della scoperta dello spyware, era stata pubblicata sui media la telefonata tra uno dei bambini del bus dirottato e poi dato alle fiamme in provincia di Milano e la sua mamma. Sembra bizzarro che madre e figlio registrino una conversazione, soprattutto in circostanze così drammatiche. Potrebbe trattarsi di un falso, di una ricostruzione a posteriori ma, se non lo fosse, darebbe adito ad interrogativi preoccupanti. Il Garante Privacy ha definito il caso Exodus un ‘fatto gravissimo’ ma a tutt’oggi non sono stati presi i necessari provvedimenti da parte delle istituzioni per evitare che tecniche di intercettazione possano determinare inaccettabili violazioni della libertà dei cittadini.

Questa è la seconda istanza del 2018 in cui una società italiana di software è stata sorpresa a distribuire spyware. All’inizio dello scorso anno, un’altra azienda italiana ha distribuito ‘Skygofree’, un pericoloso strumento di spionaggio per Android che offre agli hacker il pieno controllo dei dispositivi infetti da remoto. Lo strumento, che viene “diffuso attraverso le pagine web che imitano i principali operatori di rete mobile”, può anche essere usato per rubare i messaggi di WhatsApp. Skygofree è anche in grado di scattare foto e video, incamerare record di chiamate, SMS, geolocalizzazione, eventi del calendario e informazioni relative al business memorizzati nella memoria del dispositivo. Questo sembra essere un tipo di spyware di fascia alta in uso dal 2014. Con le vittime che sembrano essere tutte in Italia, Kaspersky Lab suggerisce che chiunque abbia creato lo strumento di sorveglianza è probabilmente anche italiano.

Il *Kaspersky Security Analyst Summit (SAS) è l’evento annuale che riunisce i più importanti ricercatori di cybersecurity di tutto il mondo. In corso da oltre un decennio, il summit di quest’anno si è tenuto per la prima volta in Asia-Pacifico presso il Raffles City Convention Center di Singapore. “Il nostro impegno per la tutela della privacy e la sicurezza di cittadini e aziende” spiega Adriana Franca, CEO di Digitree, una società che offre servizi e soluzioni di sicurezza all’avanguardia, “ci ha portato a predisporre, in sinergia con i nostri partner tecnologici Lookout e di EasyPhonia, (ndr EasyPhonia è una compagnia telefonica che permette di effettuare comunicazioni vocali e video chiamate protette con i più elevanti standard di crittografia), una soluzione di sicurezza a prova di ‘bomba informatica’ per evitare che tecniche di intercettazione non autorizzate possano determinare inaccettabili violazioni della libertà dei cittadini”.

La soluzione di mobile security, a breve disponibile sia sul sito web di DigiTree che tramite i suoi rivenditori autorizzati, prevede tre tipologie di offerta: nel primo caso, la fornitura del software di sicurezza e la sottoscrizione al servizio di SOC; nel secondo pacchetto, applicazioni e servizi sono forniti assieme ad uno smartphone a scelta del cliente; nel terzo, infine, lo smartphone fornito è di tipo rugged per le condizioni di utilizzo più estreme. La vicenda ‘Exodus’ ricorda da vicino quanto accaduto in questi giorni a Menlo Park. Negli uffici di WhatsApp, infatti, gli esperti di sicurezza hanno scovato una vulnerabilità nel codice dell’app che permetteva agli hacker di installare uno spyware e di controllare da remoto lo smartphone degli utenti. Da quanto emerso, il problema ha riguardato sia i terminali Android che quelli iOS. E il produttore dello spyware, denominato ‘Pegasus’, è un’azienda israeliana che si occupa di cybersecurity, la NSO Group. Link: www.DigiTree.it



Nessun commento:

Posta un commento