Non c’è solo Pegasus nel panorama degli spyware con i quali si sono tracciate le attività di ignari utenti. Hermit, un malware dalla vocazione similare, ha però una caratteristica peculiare: è stato sviluppato in Italia da RCS Labs e proprio in Italia è stato utilizzato (oltre che in Kazakhstan) per seminare le proprie prime vittime. Nato inizialmente solo per Android e sviluppatosi in seguito anche su iOS, lo spyware è stato scoperto dai ricercatori Lookout e ora confermato e descritto nei dettagli dal Threat Analysis Group di Google.
Hermit, spyware italiano
L’italianità del malware non è dettata soltanto dalle sue vittime, ma anche e soprattutto dalla sua origine. Il gruppo che ne ha sviluppato il codice spiega infatti sul proprio sito Web:
RCS è impegnata in un costante aggiornamento tecnologico, per garantire all’Autorità Giudiziaria e alle Forze dell’Ordine soluzioni e prodotti sempre avanzati, integrabili con le esigenze di ciascuna realtà e semplici da utilizzare. La maggior parte dei sistemi che mettiamo sul mercato sono di nostra completa proprietà intellettuale, grazie al nostro potenziale nell’analisi, nella progettazione e nell’esperienza d’uso.
In particolare a rivolgersi ad RCS Labs sarebbero:
- Autorità Giudiziaria e Forze dell’Ordine
“Utilizzano essenzialmente dispositivi e apparecchiature per il monitoraggio telefonico e ambientale su vasta scala. Operano principalmente nelle Sale Ascolto delle 167 Procure della Repubblica“; - Corpi Speciali
“Sviluppano attività mirate e specializzate, operando in un ambito tecnologico sofisticato, in campi d’azione specifici“; - Servizi Segreti e Intelligence
“Le loro necessità si concentrano su piccole apparecchiature dedicate all’intercettazione diretta di singoli bersagli, al trattamento e alla decodifica dei dati ottenuti“.
Il dibattito sui codici state-sponsored ha avuto lungo corso, con le principali critiche basate sul fatto che il rischio di vederli riversati sotto forma di malware diffuso è elevato. Casi come quello del codice Hermit non possono che riaprire il dibattito, mettendo sul piatto le giuste finalità ed i mezzi sbagliati per cercare la giusta armonia e il miglior connubio a tutela degli utenti.
Come funziona
Parte tutto con un click: per stimolarlo si usa ad esempio una schermata che simula il supporto all’account WhatsApp, chiedendo il ripristino dell’account stesso. Se l’utente cade nel tranello, automaticamente si apre una concatenazione di azioni (ben descritta da Google tanto per Android quanto per iOS). Tra gli strumenti utilizzati anche un’ampia serie di falle zero-day con cui colpire silentemente il device ed agire al di fuori delle tutele del sistema operativo in uso.
Interessante è notare come i link per il download del malware siano tutti ben contestualizzati alla realtà italiana, contemplando in particolare siti simili a quelli dei principali operatori telefonici:
- fb-techsupport[.]com
- 119-tim[.]info
- 133-tre[.]info
- 146-fastweb[.]info
- 155-wind[.]info
- 159-windtre[.]info
- iliad[.]info
- kena-mobile[.]info
- mobilepays[.]info
- my190[.]info
- poste-it[.]info
- ho-mobile[.]online
Inoltre le schermate sono in lingua italiana, tutto ben focalizzato per riuscire ad andare a segno nel migliore dei modi. Un malware difficile da distinguere, insomma, ma che può entrare nello smartphone e prenderne possesso per consentire il monitoraggio da remoto per carpire informazioni strategiche per le finalità preposte da chi ne è mandatario.
Come difendersi? Per codici di questa caratura c’è poco da fare, poiché nemmeno un antivirus dedicato può garantire piena copertura per malware nuovi e peraltro in grado di colpire falle zero-day. Molto può fare però l’elemento umano, che di fronte all’anomala richiesta di ripristino di un account può alzare il proprio senso critico e pensarci due volte prima di effettuare click alla cieca.