Diverse centinaia di italiani infettati da uno spyware presumibilmente sviluppato da un’azienda nostrana, distribuito sui dispositivi Android mediante la piattaforma ufficiale Play Store e capace di passare attraverso i filtri di sicurezza approntati da Google senza destare alcun sospetto. Quella legata a Exodus è una vicenda complessa, ancora in gran parte da chiarire.
Exodus, lo spyware made in Italy
A scriverne è Motherboard, con un lungo intervento in cui vengono citate le ricerche condotte da Security Without Borders, ESET e Trail of Bits. Si fa un uso abbondante del condizionale poiché mancano conferme e dichiarazioni da parte dei diretti interessati. Partiamo da quel che è certo: per circa due anni qualcuno ha distribuito malware in grado di colpire i dispositivi delle vittime non solo esponendo le informazioni in essi contenute, ma anche rendendoli vulnerabili ad attacchi perpetrati da parte di terzi.
Google ha comunicato di aver trovato sulla piattaforma Play Store ben 25 versioni differenti del codice maligno, passate inosservate dalle scansioni eseguite in fase di upload e nascoste all’interno di applicazioni offerte poi agli utenti con finalità come l’ottenimento di tariffe telefoniche vantaggiose o il miglioramento delle prestazioni dello smartphone. Ne riportiamo due screenshot di seguito, estratti dal report di Security Without Borders.
Il nome, Exodus, fa riferimento a quello attribuito al server C&C (Command and Control) sfruttato per la connessione delle app e per lo scambio dei dati. Il funzionamento del codice maligno prevede due step. Il primo si limita a controllare il numero di telefono e il codice IMEI dello smartphone. Il secondo avviene successivamente: attraverso il download di un archivio viene installato il malware vero e proprio, senza che l’utente ne sia a conoscenza. È bene tenere a mente questa distinzione, poco più avanti spiegheremo il perché.
eSurve, la “mundizza” e “RINO GATTUSO”
Le indagini svolte dai ricercatori conducono all’azienda eSurv con sede a Catanzaro, identificata poiché il già citato server C&C fa leva sullo stesso certificato TLS impiegato dalla società per l’erogazione del proprio servizio di videosorveglianza. A rafforzare l’ipotesi alcuni riferimenti scovati tra le righe di codice: “mundizza” e “RINO GATTUSO”, il primo termine dialettale calabrese e il secondo una sorta di omaggio al noto calciatore originario della zona. Contattata per chiarimenti, l’azienda ha negato un proprio coinvolgimento. Il sito ufficiale è al momento irraggiungibile, ma visitabile facendo riferimento alla Wayback Machine dell’Internet Archive.
L’innovazione dirompente di eSurv viene utilizzata quotidianamente da numerosi clienti. Con la sua facilità di utilizzo, la possibilità di gestione da qualunque browser e l’efficace analisi video dei suoi Smart Plug-in, eSurv sta rivoluzionando il modo di fare videosorveglianza, di aziende e pubbliche amministrazioni, di ogni dimensione.
Motherboard cita inoltre un dipendente che, nel proprio curriculum su LinkedIn, dichiara di aver sviluppato “un agente applicativo per raccogliere dati dai dispositivi Android e inviarli a un server C&C”. Riportiamo l’informazione così come pubblicata dalla fonte, non avendo modo di verificarla poiché la pagina di eSurv sulla piattaforma non risulta al momento accessibile.
Polizia di Stato e intercettazioni
Il software potrebbe essere stato sviluppato come parte di un progetto finanziato dalla Polizia di Stato, ma anche in questo caso utilizzare il condizionale è d’obbligo. Un documento pubblicato sul sito dell’autorità (a pagina 11) rivela infatti che eSurv ha ricevuto in data 6 novembre 2017 un versamento pari a 307.439,90 euro. La spesa è giustificata come “Acquisto di beni e servizi”, più nel dettaglio di un “Sistema di intercettazione attiva e passiva”.
Si tratta dunque di uno spyware destinato all’impiego nelle indagini? La pratica è consentita dal nostro ordinamento, ma solo previo mandato all’interno di un procedimento giudiziario e con modalità ben precise. In questo caso i confini fissati per legge sono stati ampiamente superati: non ci si è limitati all’acquisizione di registrazioni audio e video, equiparabili a quelle ottenute un tempo con microfoni o telecamere nascoste, ma si è arrivati a mettere le mani su dati sensibili come chiamate, cronologia di navigazione, informazioni inserite nel calendario, spostamenti e chat.
Se il primo dei due step che regolano il comportamento di Exodus (lettura di numero di telefono e IMEI) può rientrare nell’ambito di un impiego da parte delle autorità, così da assicurarsi che il dispositivo preso di mira sia concretamente quello della persona da intercettare, il passo successivo non può essere considerato legale. Ancor più grave, il codice espone potenzialmente lo smartphone all’azione malevola di chiunque connesso alla stessa rete WiFi aprendo una porta di accesso ai dati. Viene inoltre attivata una shell per l’esecuzione di qualsiasi comando da remoto.
Google: Play Store e i malware
Come scritto in apertura, la vicenda è complessa e presenta numerosi punti da chiarire. Andranno attribuite precise responsabilità. A Google anzitutto quella di implementare misure più efficaci per evitare che malcapitati utenti possano imbattersi in applicazioni infette attraverso download da Play Store, la piattaforma ufficiale dell’ecosistema Android.