Alcuni ricercatori hanno individuato uno spyware italiano, installato con l’aiuto (sembra) di un provider italiano, per monitorare dispositivi Apple e Android in Italia e Kazakhstan.
Diamo uno sguardo a cosa hanno scoperto esattamente questi ricercatori, per comprendere come funziona il meccanismo di infezione.
Come funziona?
All’avvio del dispositivo, viene interrotta la connessione grazie alla collaborazione con il provider, promettendo di far tornare la connettività dopo l’installazione di un’app dedicata camuffata da app “My Vodafone” come di seguito:
Questo grazie all’analisi dei ricercatori pubblicata inizialmente nel Google Project Zero e confermata ufficialmente nel Blog di Google.
Come detto, una volta disabilitata la rete da parte del provider, l’attaccante invierebbe un link malevolo via SMS chiedendo al bersaglio di installare un’app per recuperare la connettività dei dati, cosa confermata dal fatto che le app sono mascherate da applicazioni di operatori di telefonia mobile.
Mentre ove non c’è il supporto del provider le app vengono mascherate da applicazioni di messaggistica o social network ove si paventa di aiutare l’utente a recuperare il proprio account social.
Per iOS 6 vulnerabilità sfruttate, per Android nessuna
Nei sistemi iOS, tra le vulnerabilità utilizzate ci sono anche alcuni zero-day che risultano esattamente 2, mentre le altre 4 sono vulnerabilità già note. Mentre nei sistemi Android non vi è alcuna vulnerabiità sfruttata ma è implementata una funzione che sfrutta l’API DexClassLoader per scaricare ed eseguire moduli aggiuntivi.
Quando installate, le app hanno anche capacità di esfiltrazione dati, addirittura del database di WhatsApp, capacità di registrazione audio della chiamate, effettuare e reindirizzare telefonate, oltre a poter raccogliere dati come registri delle chiamate, contatti, foto, posizione del dispositivo e messaggi SMS.
Collegamenti con l’Agenzia di Cybersicurezza Nazionale?
Si sollevano a riguardo alcuni quesiti, come indicato da Matteo Flora, in quanto la presidente di Cy4gate, che possiede RCS LAB (la sviluppatrice delle suddette applicazioni malevole) fa parte del Comitato Tecnico Scientifico dell’Agenzia di Cybersicurezza Nazionale, che fa sorgere dei dubbi sul reale utilizzo di codeste applicazioni e se, in particolare, l’agenzia ne era al corrente oppure no.
Vedremo come si evolverà la situazione in merito e se vi sarà disposta da parte dell’Agenzia di Cybersecurity.