Cybersecurity: un migliaio di italiani spiati per errore dagli hacker di stato con “Exodus”
Un migliaio di persone, forse più, sono state intercettate per errore da un software spia, creato da un’azienda italiana che lavora con le forze dell’ordine. Lo sostiene Security without borders, che in collaborazione con Motherboard ha effettuato la scoperta. Lo spyware, che colpisce solo dispositivi Android, si chiama Exodus ed è stato diffuso per errore sul Play Store di Google.
“Riteniamo - spiegano gli autori della ricerca- che questa piattaforma sia stata sviluppata da una società Italiana chiamata eSurv, di Catanzaro, che opera principalmente nel settore della videosorveglianza. Secondo informazioni disponibili pubblicamente sembra che eSurv abbia iniziato a sviluppare spyware dal 2016”. “Exodus è dotato di ampie capacità di raccolta e di intercettazione. È particolarmente preoccupante che alcune delle modifiche effettuate dallo spyware potrebbero esporre i dispositivi infetti a ulteriori compromissioni o a manomissioni dei dati”.
Il software agisce in due fasi. Exodus One raccoglie informazioni base di identificazione del dispositivo infetto, in particolare il codice Imei. Exodus Two, poi, installa un file che raccoglie dati e informazioni sensibili dell’utente infettato, come la cronologia dei browser, le informazioni del calendario, la geolocalizzazione, i log di Facebook Messenger, le chat di WhatsApp e le mail. Secondo Security without Borders, Exodus sarebbe in grado anche di registrare le telefonate, l’audio ambientale e scattare foto.
Di più: recuperando la password del Wi-Fi, diventa possibile entrare nella rete domestica dell’utente e raccogliere altri dati. Un “captatore informatico”, come li definisce la legge, insomma, ma molto avanzato: rimane attivo anche quando lo schermo si spegne e l’applicazione verrebbe altrimenti sospesa per ridurre il consumo della batteria.
Exodus è stato utilizzato tra il 2016 e l’inizio del 2019, e alcune copie sono state trovate sul Google Play Store. Sia le pagine del Play Store che le finte interfacce di queste applicazioni malevole sono in italiano. Questo è l’errore più grave: di solito app di questo genere vengono inviate dagli operatori ai soggetti da intercettare solo dopo l’ìautorizzazione del tribunale,e solo a loro. Ma queste app erano invece scaricabili da chiunque.
Security without borders ha segnalato a Google la presenza dello spyware, che è stato rimosso in tutte le varianti, circa 25, camuffate spesso da false app di compagnie telefoniche. Una volta eliminate dallo store le app, la società di Mountain View ha dichiarato che “grazie a modelli di rilevamento avanzati, Google Play Protect sarà ora in grado di rilevare meglio le future varianti di queste applicazioni”.
Google non ha però condiviso con i ricercatori il numero totale di dispositivi infetti, ma ha confermato che una di queste applicazioni malevole ha raccolto oltre 350 installazioni attraverso il Play Store, mentre altre varianti hanno raccolto poche decine ciascuna, e che tutte le infezioni sono state localizzate in Italia. “Abbiamo direttamente osservato molteplici copie di Exodus con più di 50 installazioni e possiamo stimare approssimativamente che il numero totale di infezioni ammonti a diverse centinaia, se non un migliaio o più”, si legge nella ricerca.
E come si è arrivati alla società italiana? Nel codice del programma, analizzato da Security without Borders, ci sono riferimenti curiosi: uno a Rino Gattuso, l’altro una parola dialettale calabrese, “mundizza”, immondizia, che in questa forma pare sia molto popolare a Catanzaro. Oltre, naturalmente, agli indirizzi Dns dei server a cui il software si collegava. E su Linkedin, uno dei dipendenti fa riferimento proprio a questo software, definendosi “white hacker”, hacker buono. Ma un po’ distratto.
La Procura di Napoli ha aperto un fascicolo d’indagine su Exodus: a coordinare l’attività investigativa, che interessa tutto il territorio nazionale, è il procuratore capo Giovanni Melillo. Secondo quanto si apprende, il fascicolo è stato aperto tempo fa: la prima individuazione del malware è infatti avvenuta proprio nel capoluogo partenopeo.
Fonte: La Stampa