Circa un migliaio di persone, probabilmente anche di più, sono state intercettate per “errore” (?) da un software spia, creato da un’azienda calabrese, la eSurv di Catanzaro che ha sviluppato questo prodotto per conto della Polizia di Stato. Security without borders, in un’inchiesta pubblicata sulla rivista Motherboard, rivela che lo spyware avrebbe colpito poco più di un migliaio di dispositivi Android. E la diffusione sarebbe avvenuta, incredibilmente, attraverso delle normali app scaricate su Play Store, il canale ufficiale di Google.
Exodus è un virus di tipo spyware. In maniera specifica si tratta di un software malevolo che è capace di prendere il controllo di un dispositivo, consentendo a chi sta dall’altra parte di visionare tutto ciò che l’utente fa sul proprio smartphone. Si tratta di un prodotto utilizzato (dalle forze dell’ordine) tra il 2016 e inizio 2019, le cui pagine del Play Store e le relative finte interfacce sono in italiano. Normalmente però, e questo è molto grave, app di questo genere vengono inviate dagli operatori (forze dell’ordine o consulenti che lavorano per le stesse) ai soggetti da intercettare solo dopo l’autorizzazione di un giudice, e solo a loro, non disponibili all’utilizzo di chiunque.
COME FUNZIONA
Lo Spyware agisce in due step. Exodus “fase uno” raccoglie informazioni base di identificazione del dispositivo infetto, in particolare il codice Imei. Exodus “fase due”, poi, installa un file che raccoglie dati e informazioni sensibili dell’utente infettato, come la cronologia dei browser, le informazioni del calendario, la geolocalizzazione, i log di Facebook Messenger, le chat di WhatsApp e le mail. Secondo Security without borders, Exodus sarebbe in grado anche di registrare le telefonate, l’audio ambientale e scattare foto.
Per cui chi sta dall’altra parte dello schermo, ovvero chi gestisce lo spyware, può vedere e registrare tutto ciò che l’utente fa sul proprio smartphone: telefonate e sms, l’utilizzo delle app, il contenuto della cronologia di navigazione sul browser, tutte le foto scattate, gli spostamenti, fino al controllo delle app più sicure, è probabile infatti che fossero in grado di visualizzare anche le chat di WhatsApp e Telegram, app notoriamente sicure perché crittografate con la tecnologia end to end, ma inermi davanti a un software che di fatto controlla il 100% di quello che succede su un device. Inoltre Exodus era in grado intercettando la password WiFi domestica, o di un ufficio, di estendere il proprio raggio d’azione.
Come è ovvio che fosse Security Without Borders ha immediatamente avvisato Google, che ha prontamente rimosso lo spyware in tutte le varianti, circa 25, mascherato molto spesso da false app di compagnie telefoniche o di quelle usate spesso per migliorare le performance del telefono. Una volta eliminate dallo store le app, la società di Mountain View ha rassicurato tutti gli utenti dichiarando che “grazie a modelli di rilevamento avanzati, Google Play Protect sarà ora in grado di rilevare meglio le future varianti di queste applicazioni”.
Google tuttavia, non ha condiviso con i ricercatori il numero totale di dispositivi infetti, confermando però che una di queste applicazioni malevole ha raccolto oltre 350 installazioni attraverso il Play Store, rispetto ad altre varianti che hanno raccolto poche decine ciascuna, e che tutte le infezioni sono state localizzate in Italia. “Abbiamo direttamente osservato molteplici copie di Exodus con più di 50 installazioni e possiamo stimare approssimativamente che il numero totale di infezioni ammonti a diverse centinaia, se non un migliaio o più”, confermando quindi che app “infette” dal 2016, hanno girato sugli smartphone di oltre mille italiani, spiandone ogni mossa.
LE INDAGINI DELLA PROCURA DI NAPOLI
La Procura di Napoli ha aperto un fascicolo d’indagine su Exodus, in quanto la prima individuazione del malware è infatti avvenuta proprio nel capoluogo partenopeo: a coordinare l’attività investigativa, che interessa tutto il territorio nazionale, è il procuratore capo Giovanni Melillo.
Lukas Stefanko, ricercatore ESET, società che rappresenta uno dei pilastri del mondo della cybersciurezza, ha dichiarato proprio a Motherboard che è allarmante, ma non sorprendente, che software malevoli continuino a farsi strada oltre i filtri di Google Play Store, aggiungendo “Sia nel 2018 che nel 2019, i malware hanno penetrato con successo i meccanismi di sicurezza di Google Play. Alcuni miglioramenti sono necessari. Google non è una compagnia di sicurezza, ma forse dovrebbero concentrarsi maggiormente su questo”.
Ricordiamo, inoltre per correttezza che Exodus non è un virus/malware normale, ma un software che secondo un documento pubblicato online, è stato commissionato alla eSurv dalle forze dell’ordine italiane per operazioni di polizia. Quello che rimane un mistero è come un’applicazione tanto delicata sia finita nel Play Store. Errore? O forse piano criminale per ricattare gli ignari utilizzatori?
