Tecnología

Centinaia di italiani sono stati infettati da un malware nascosto da anni sul Play Store

creep-hand-fin

Read this article in English.

Alcuni hacker che lavorano per un’azienda di sorveglianza hanno infettato per mesi centinaia di persone grazie a diverse app malevole per Android che erano state caricate sul Play Store ufficiale di Google, stando a quanto Motherboard ha appreso.

Videos by VICE

Non è la prima volta che hacker governativi o hacker legati a organizzazioni criminali riescono a caricare malware sul Play Store. Questo nuovo caso sottolinea per l’ennesima volta i limiti dei filtri di Google che dovrebbero evitare che i malware finiscano sul Play Store. In questo caso, più di 20 app malevole sono passate inosservate sotto il naso di Google, per un periodo di circa due anni.

Motherboard ha anche appreso dell’esistenza di un nuovo tipo di malware per Android presente sul Play Store di Google, che il governo italiano ha acquistato da un’azienda che generalmente vende sistemi di videosorveglianza ma che, fino a ora, non era conosciuta per lo sviluppo di malware.

Alcuni esperti hanno riferito a Motherboard che l’operazione potrebbe aver colpito vittime innocenti, dal momento che lo spyware sembrerebbe essere difettoso e mal direzionato. Esperti legali e delle forze dell’ordine hanno riferito a Motherboard che lo spyware potrebbe essere illegale.

Le diverse app di questo spyware sono state scoperte e studiate in un’indagine congiunta tra i ricercatori di Security Without Borders, una non-profit che spesso compie investigazioni su minacce contro i dissidenti e attivisti per i diritti umani, e Motherboard. I ricercatori hanno pubblicato un dettagliato report tecnico dei propri risultati nella giornata di venerdì.

Google ha rifiutato di condividere il numero esatto di vittime, ma ha detto che è inferiore alle 1000 e che sono tutte italiane.

“Abbiamo identificato copie di uno spyware precedentemente sconosciuto che sono state caricate con successo sul Google Play Store più volte nel corso di oltre due anni. Queste applicazioni sono normalmente rimaste disponibili su Play Store per mesi,” hanno scritto i ricercatori.

Lukas Stefanko, un ricercatore dell’azienda di sicurezza ESET, specializzato in malware per Android ma che non è coinvolto nella ricerca di Security Without Borders, ha detto a Motherboard che è allarmante, ma non sorprendente, che dei malware continuino a scavalcare i filtri del Play Store di Google.

“Nel 2018 e persino nel 2019 alcuni malware sono riusciti a penetrare fra i meccanismi di sicurezza di Google Play. Sono necessari dei miglioramenti,” Stefanko ha detto in una chat online. “Google non è un’azienda di sicurezza, forse dovrebbero focalizzarsi di più su questo.”

PIACERE, EXODUS

Nel tentativo apparente di indurre i bersagli a installarle con l’inganno, le app dello spyware erano progettate per assomigliare a innocue app per ricevere promozioni e offerte di marketing da operatori telefonici italiani, o da app per migliorare le performance del dispositivo.

1553786800108-Screen-Shot-app-malevole-malware-google-play-store
Uno screenshot di una delle app malevoli. Immagine di Security Without Borders

All’inizio di quest’anno i ricercatori hanno allertato Google dell’esistenza di queste app, che poi sono state rimosse. Google ha detto sia ai ricercatori che a Motherboard di aver trovato 25 versioni differenti dello spyware negli ultimi due anni, risalenti fino al 2016. Google ha rifiutato di condividere il numero esatto di vittime, ma ha detto che è inferiore alle 1000 e che sono tutte italiane. L’azienda non ha fornito ulteriori informazioni riguardo le persone colpite.

I ricercatori chiamano il malware Exodus, a partire dal nome del server di comando e controllo (C&C) a cui le app si connettevano. Una persona informata sullo sviluppo del malware ha confermato a Motherboard che quello è il nome del malware usato internamente.

Exodus era programmato per agire in due stadi. Nel primo stadio, lo spyware si installa e controlla solamente il numero di telefono e l’IMEI del cellulare — ovvero, il codice identificativo del dispositivo — presumibilmente per controllare se lo smartphone è effettivamente quello da attaccare. Apparentemente, per questa attività, il malware ha una funzione chiamata “CheckValidTarget.”

Ma, in realtà, lo spyware non sembra effettuare propriamente questo controllo, secondo quanto riportato dai ricercatori. Questo particolare è di notevole rilevanza poiché vi sono attualmente degli utilizzi permessi dal punto di vista legale per malware programmati per agire in modo estremamente mirato — per esempio, con un mandato, in molti Stati le forze dell’ordine possono hackerare i dispositivi.

Il malware ha accesso ai dati più sensibili — come le registrazioni audio ambientali, le chiamate telefoniche, la cronologia dei browser, le informazioni del calendario, la geolocalizzazione, i log di Facebook Messenger, le chat di WhatsApp

In un test effettuato su uno smartphone usa e getta, i ricercatori hanno visto che dopo aver effettuato il controllo, il malware scaricava un file ZIP per installare il vero malware, in grado di hackerare lo smartphone e di rubarne i dati.

“Questo suggerisce che gli operatori del Command & Control non stanno applicando una validazione del target,” hanno concluso i ricercatori di Security Without Borders nel loro report. “Inoltre, durante un periodo di diversi giorni, i nostri dispositivi di test infetti non sono mai stati disinfettati in remoto dagli operatori.”

A quel punto, il malware ha accesso ai dati più sensibili presenti sul telefono infetto — come, fra le altre cose, le registrazioni audio ambientali, le chiamate telefoniche, la cronologia dei browser, le informazioni del calendario, la geolocalizzazione, i log di Facebook Messenger, le chat di WhatsApp, e i messaggi di testo, stando ai ricercatori.

Lo spyware apre anche una porta e una shell sul dispositivo: in altre parole, gli operatori del malware possono far eseguire direttamente dei comandi al telefono infetto. Secondo i ricercatori, questa shell non è programmata per usare la crittografia, e la porta è esposta e accessibile a chiunque sia connesso alla stessa rete Wi-Fi a cui è connesso il dispositivo infettato. Questo vuol dire che chiunque nelle vicinanze potrebbero hackerare il dispositivo infetto, secondo i ricercatori.

“Inevitabilmente, questo lascia il dispositivo esposto non solo a ulteriori compromissioni, ma anche a una potenziale manipolazione dei dati,” hanno scritto i ricercatori.

Una seconda analisi indipendente svolta da Trail of Bits, un’azienda di cybersicurezza newyorkese che ha analizzato il malware per Motherboard, ha confermato che i sample del malware si connettono tutti ai server di un’unica azienda, che gli indirizzi IP identificati da Security Without Borders sono tutti collegati, e che il malware lascia il dispositivo infetto più vulnerabile ad attacchi hacker.

CHI C’È DIETRO LO SPYWARE?

Tutte le prove raccolte da Security Without Borders nella loro indagine indicano che il malware è stato sviluppato da eSurv, un’azienda italiana con base a Catanzaro, in Calabria.

Il primo indizio che indica l’origine italiana degli autori del malware si trova in due stringhe di codice: “mundizza,” e “RINO GATTUSO.” Mundizza è un termine dialettale della Calabria che si riferisce genericamente alla spazzatura. Rino Gattuso è invece un famoso ex giocatore italiano di calcio di origini calabresi.

La vera pistola fumante, però, è il server di comando e controllo usato da diverse app trovate sul Play Store per mandare indietro agli operatori del malware i dati esfiltrati.

Il server, secondo i ricercatori, condivide il certificato web TLS con altri server che appartengono ai servizi delle videocamere di sorveglianza di eSurv, che è il business principale dell’azienda. In aggiunta, alcuni di questi server identificati dai ricercatori mostrano il logo di eSurv come icona associata all’indirizzo del server — l’icona che potete vedere nelle tab del vostro browser, nota anche come favicon.

Altri campioni di spyware comunicano con un server che appartiene a eSurv, secondo i ricercatori. Google ha confermato che i server sono di eSurv. Il ricercatore di Trail of Bits che ha visionato il report tecnico e lo spyware ha confermato che sono connessi a eSurv.

1553786859377-servers

Infine, un dipendente di eSurv ha indicato nel suo curriculum, disponibile pubblicamente sulla sua pagina LinkedIn, che come parte del suo lavoro nell’azienda ha sviluppato “un ‘agente’ applicativo per raccogliere dati dai dispositivi Android e inviarli a un server C&C” — un riferimento tecnico, sebbene chiaro, a spyware Android.

Motherboard ha contattato lo sviluppatore, che ha rifiutato di commentare, argomentando che le risposte sarebbero state “informazioni riservate. Non credo possa dichiarare nulla su questo ;)”

Abbiamo contattato eSurv diverse volte via email e LinkedIn. Alla fine, una dipendente dell’azienda si è detta sorpresa e scioccata dalle nostre conclusioni, visto che eSurv vende solo servizi di videosorveglianza, ha detto. Dopo un paio d’ore dalla nostra telefonata, l’azienda ha reso il proprio sito irraggiungibile per un paio di settimane.

Dopo che abbiamo chiesto ulteriori chiarimenti, l’azienda ha rifiutato di rilasciare commenti.

eSurv sembra avere una relazione continuativa con le forze dell’ordine italiane, malgrado Security Without Borders non sia stata in grado di confermare se le app malevole fossero state sviluppate per clienti governativi.

eSurv ha vinto un bando della Polizia di Stato per lo sviluppo di un “sistema di intercettazione passiva e attiva,” come emerge da un documento pubblicato online nel rispetto della legge italiana sulla trasparenza. Il documento rivela che eSurv ha ricevuto un pagamento di 307.439,90 € il 6 novembre 2017.

Abbiamo inviato una richiesta FOIA per ottenere informazioni sulla gara d’appalto, la lista delle aziende che hanno partecipato, l’offerta tecnica inviata dall’azienda e le fatture emesse dalla stessa. La nostra richiesta, però, è stata rigetta. La Direzione centrale per i servizi Antidroga della polizia, che ha risposto alla nostra richiesta, ha detto di non poter consegnare i documenti poiché il sistema di sorveglianza è stato ottenuto “per speciali misure di sicurezza.”

Nell’arco degli ultimi mesi, diverse fonti familiari con il mercato italiano degli spyware hanno riferito a Motherboard che una nuova azienda calabrese stava ottenendo diversi contratti per sviluppare software di sorveglianza con forze dell’ordine e agenzie governative. Alcune di queste fonti hanno specificamente indicato eSurv come quella nuova azienda che stava prendendo d’assalto il mercato locale.

Infine, una fonte vicina a eSurv, che ha richiesto di rimanere anonima poiché non autorizzata a parlare pubblicamente, ha detto che l’azienda vende malware alla polizia italiana.

“Pubblicano [lo spyware] sul Play Store e inducono le persone a scaricarlo e aprirlo,” ha riferito la fonte in una chat online.

TUTTO QUESTO È LEGALE?

In generale, utilizzare uno spyware su mandato o autorizzazione di un giudice è legale in molti paesi europei, e lo stesso vale negli Stati Uniti. In questo caso, però, lo spyware di eSurv potrebbe non aver operato nel rispetto della legge, hanno detto alcuni esperti a Motherboard.

“Non penso che ci siano i presupposti per ritenere che tale captatore sia lecito,” ha dichiarato Giuseppe Vaciago, un avvocato italiano specializzato in diritto penale e sorveglianza, dopo aver rivisto il report di Security Without Borders.

Vaciago ha spiegato che uno spyware che agisce secondo la legge italiana non dovrebbe installarsi su nessun dispositivo senza prima validare che il target sia legittimo, una cosa che Exodus sembra non fare adeguatamente, secondo i ricercatori.

Inoltre, Vaciago ha spiegato che la legge italiana fa equivalere gli spyware ai dispositivi di sorveglianza fisica, come i microfoni e le videocamere nascoste di vecchia maniera, limitandone l’uso solo alla registrazione audio e video.

“Questo software, invece, è in grado di svolgere e, di fatto, sembra aver svolto, una serie di attività ben più invasive di quelle previste dalla legge,” ha detto Vaciago a Motherboard via email.

“Aprire dei buchi di sicurezza e lasciarli a disposizione di chiunque è folle e insensato, prima ancora che illecito.”

Il fatto che il malware renda il dispositivo vulnerabile ad altri hacker è forse uno degli elementi peggiori di Exodus, secondo un’agente di polizia che ha esperienza nell’utilizzo di spyware durante le indagini, e che ha richiesto di rimanere anonimo perché non autorizzato a parlare con la stampa.

“Questo, dal punto di vista di un’intercettazione legale, è folle,” ha detto l’agente a Motherboard, “aprire dei buchi di sicurezza e lasciarli a disposizione di chiunque è folle e insensato, prima ancora che illecito.”

Alla fine del 2017 l’Italia ha introdotto una legge che regola l’utilizzo dei captatori informatici per le attività di polizia e le investigazioni — legge che però regola unicamente l’utilizzo degli spyware per la registrazione di audio da remoto, tralasciando tutti gli altri utilizzi che può avere uno spyware, come intercettare i messaggi di testo, o catturare gli screenshot dello schermo. A maggio 2018 il Ministero della Giustizia ha pubblicato i requisiti tecnici che devono essere rispettati nella produzione e utilizzo dei captatori informatici.

In un parere espresso dal Garante italiano per la protezione dei dati personali ad aprile dello scorso anno, l’Autorità ha criticato i requisiti per la loro vaghezza nella descrizione dei componenti del sistema di intercettazione, e ha sottolineato che le autorità di polizia devono garantire che l’installazione del captatore informatico non riduca il livello di sicurezza del dispositivo.

“Ciò al fine di impedire che il dispositivo possa essere compromesso da terzi, con eventuali riflessi negativi sulla protezione dei dati personali ivi contenuti, nonché sull’attività investigativa,” ha scritto il Garante.

Sfruttare app che si mascherano da offerte promozionali e di marketing provenienti da operatori telefonici locali è una pratica già utilizzata da malware del governo italiano in precedenza. Infatti, gli operatori telefonici italiani possono essere obbligati dal governo a inviare sms per facilitare l’installazione di malware sui dispositivi dei sospettati, come riportato precedentemente da Motherboard Italia.

Alcuni dettagli su queste operazioni erano emersi in un’audizione del Company Security Governance di Wind Tre S.p.A., tenutasi a marzo 2017 presso il Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR) — un comitato che supervisiona le attività dei servizi segreti italiani.

Secondo il documento, che riassume le audizioni, per quanto riguarda la sfera dei captatori informatici utilizzati nelle investigazioni, gli operatori di telecomunicazioni vengono interpellati per facilitare l’infezione di dispositivi di terzi con il malware. Queste operazioni “consistono soprattutto nell’ampliamento della banda e nell’invio di messaggi per richiedere determinate attività di manutenzione,” si legge nel testo. Queste attività potrebbero rientrare in quelle che vengono definite “prestazioni obbligatorie di giustizia” degli operatori telefonici, prestazioni che sono dettagliate in uno specifico listino dei prezzi del Ministero della Giustizia: si va dai 15€ per le intercettazioni telefoniche e di flusso di comunicazione internet ai 110€ per “assistenza e studi di fattibilità.”

Al momento della pubblicazione di questo articolo, la Polizia di Stato non ha ancora risposto a molteplici richieste di commento sulla tecnologia oggetto del bando, né hanno fornito risposte alle domande sull’utilizzo dello spyware. Allo stesso modo, domande inviate a due Procure della Repubblica Italiana attendono ancora risposta.

L’agente di polizia concorda sul fatto che lo spyware di eSurv manca del giusto scopo e delle protezioni atte a garantire che non colpisca persone che non hanno nulla a che vedere con le indagini.

“Non e’ che puoi fare una roba indiscriminata,” ha detto l’agente di polizia a Motherboard. “mettere [sul Play Store] una cosa pensando di infettare un numero indeterminato di persone, e fare la la pesca a strascico è una cosa assolutamente illegale.”

La fonte vicina a eSurv ha confermato che, a volte, le app sono finite sui dispositivi sbagliati, “Gente ignara,” ha detto la fonte, “scaricava inconsapevolmente l’app. E si infettavano.”

Eppure, anziché fare qualcosa per impedirlo, l’azienda usava le vittime come “cavie.”

Hai qualche informazione? Puoi contattare in modo sicuro Lorenzo Franceschi-Bicchierai su Signal al +1 917 257 1382, sulla OTR chat a lorenzofb@jabber.ccc.de, o via email a lorenzo@motherboard.tv. E puoi contattare Riccardo Coluccini in modo sicuro sulla OTR chat a rcoluc@jabber.ccc.de, e via mail a riccardo.coluccini@vice.com.