Cyber: Exodus, l’App-spia che ha intercettato circa mille italiani

Scaricabile dal Play Store ufficiale di Google infettava con uno spyware gli utenti

farmacia di turno

Ancora una volta le App infette fanno notizia. Soltanto il mese scorso un’applicazione con oltre 50 milioni di download è stata infettata dal famigerato virus spyware Triout, in grado di  spiare tutte le azioni compiute da una persona con il proprio smartphone. Si è trattato in quel caso dell’App Psiphon utilizzata principalmente nei Paesi sotto censura dove non è possibile collegarsi a Internet né avere un accesso libero al Google Play Store. Eppure i ricercatori di Bitdefender hanno scovato il codice malevolo sofisticato e per questo idoneo ad essere impiegato anche in azioni di spionaggio internazionale.

Exodus ha spiato 1000 italiani

Oggi, a finire sul banco degli imputati è Exodus, uno spyware in grado di rubare foto, conversazioni e informazioni dagli smartphone con sistema operativo Android. Sempre più spesso ormai hacker governativi o hacker legati a organizzazioni criminali riescono a caricare malware sul Play Store ufficiale di Google che evidentemente ha filtri inefficaci, ove si consideri che più di 20 app malevole sono passate inosservate nello Store per un periodo di circa due anni.

A scoprire il virus in questo caso gli esperti di Security Without Borders e Motherboard

Il codice malevolo si celava all’interno del software di un’applicazione che sarebbe stata sviluppata da un’azienda di Catanzaro, liberamente scaricabile dal Play Store ufficiale di Google, nel cui contesto risultava inserita, spesso camuffata da applicazione di servizio di operatori telefonici o da app che migliorano le performances dei dispositivi. I ricercatori Security Without Borders e Motherboard hanno rilevato che lo spyware, una volta eseguito il download dell’applicazione, è in grado di acqisire ed inviare tutte le informazioni presenti nello smartphone infettato. 

Scoperte almeno 25 varianti di software

Sono state scoperte almeno 25 varianti di software che risulta utilizzato a partire dal 2016 e, stando a quanto ha fatto sapere Google, che frattanto ha dichiarato di avere disabilitato tutti i malware, avrebbe infettato i dispositivi di circa mille utenti italiani. 

Il funzionamento del codice malevolo è pervasivo ed efficace

Eseguito il download dell’app, il virus acquisisce il codice univoco del dispositivo (IMEI) ed il numero di telefono associato alla scheda Sim, per inviarli al server di Command & Control in attesa della validazione per l’intercettazione. Secondo quanto rilevato dagli esperti è proprio la fase di validazione che sarebbe stata bypassata dal virus che, automaticamente procedeva all’intrusione (in modalità spy) nei contenuti del dispositivo.

E non solo!

Infatti, lo spyware è tecnicamente idoneo a servirsi del device infettato anche per intercettazioni ambientali, attraverso l’attivazione dei microfoni e delle registrazioni, ovvero per scattare fotografie o eseguire registrazioni video e acquisire i contenuti multimediali di WhatsApp. Anche durante la fase di stand by dello smartphone e persino in modalità di risparmio energetico, riesce ad accedere al registro delle chiamate telefoniche, alla cronologia dei browser, alle informazioni del calendario, alla geolocalizzazione e ai log di Facebook Messenger ed instant messanging.

La eSurv ha anche vinto un bando della Polizia di Stato per lo sviluppo di un sistema di intercettazione passiva e attiva

Exodus, stando a quanto rilevato dagli esperti, sarebbe riconducibile alla Società eSurv di Catanzaro, tradita sia dall’uso dall’espressione dialettale tipicamente calabrese “mundizza” presente nel codice del software sia dall’uso della chiave “Rino Gattuso” collegato alle radici del campione,  ma in modo più significativo, dall’analisi dei server di destinazione delle informazioni intercettate dai captatori informatici, che erano i medesimi utilizzati dall’azienda per i propri sistemi di videosorveglianza con i quali condividevano il certificato web TLS.

La riforma Orlando e le perplessità dell’Autorità Garante

Va ricordato che nel nostro Paese la riforma Orlando, adottata con L. 29.12.2017 n. 216, ha introdotto il captatore informatico come uno strumento di indagine e, tenuto conto delle elevate potenzialità intrusive dello strumento intercettivo, nonché della idoneità tecnica all’esfiltrazione di dati personali anche sensibili, lo schema di riforma è stato sottoposto al parere dell’Autorità Garante.

E proprio il Garante manifestava già perplessità in ordine alla formulazione dell´articolo 4, comma 1, lett. e), nella parte in cui, introducendo il comma 1-bis all´articolo 271 c.p.p., prevedeva l´inutilizzabilità dei dati acquisiti nel corso delle operazioni preliminari (non chiaramente specificate) all´inserimento del captatore informatico sul dispositivo elettronico portatile , nonché dei dati acquisiti al di fuori dei limiti di tempo e luogo indicati nel decreto autorizzativo (invero nemmeno acquisibili). 

Per tali ragioni il Garante invitava a valutare l’opportunità di sopprimere o comunque di chiarire con maggiore dettaglio, il comma 1-bis introdotto, all´articolo 271 c.p.p., dall´articolo 4, comma 1, lett. e), dello schema.

Malgrado i successivi adeguamenti lo strumento captatore resta certamente tra i più pervasivi e controversi, ove utilizzato con finalità intrusive, non legittimate, perpetrate attraverso l’installazione di applicazioni camuffate contenenti codici malevoli spyware che, nel caso che ci occupa, riescono anche a superare i filtri di controllo di Google. Per questo è importante, aumentare i livelli di consapevolezza del rischio e divulgare la cultura della sicurezza soprattutto nelle nuove generazioni dei cosiddetti nativi digitali.  

Davide Maniscalco

Avvocato Cassazionista, con formazione giuridico-aziendale, ha consolidato la propria esperienza professionale prevalentemente nel settore dei carburanti e delle energie. Ha assunto ruoli di alta direzione in Gruppi societari del settore wholesale and retail trading, logistic, transport & management. Ha maturato una significativa esperienza in diritto commerciale e societario, nonché nella contrattualistica di impresa, occupandosi in azienda della gestione del capitale umano e delle relazioni sindacali. E’ Of Counsel dello Studio Viola di Palermo con cui collabora nell’ambito dell’innovativo BID Department per lo sviluppo del commercio internazionale delle imprese, negli uffici di rappresentanza di Milano e New York. Nel corso dell’esperienza professionale ha approfondito il rapporto tra diritto e tecnologie della società dell’informazione ed ha poi rivolto particolare attenzione alle materie della information security, acquisendo competenze trasversali in informatica giuridica, governance digitale, cybersecurity e business resilience. Certified functional continuity professional (CFCP) DRII e crisis manager. Referente territoriale e Docente della Geeks Academy, scuola di alta formazione specialistica e network della formazione in cybersecurity, digital forensics e data analysis. Professionista della Privacy iscritto negli elenchi dei professionisti dell’Associazione Anorc Professioni*, per la quale è Referente Territoriale. Professionista della Digitalizzazione documentale e della Privacy, con master di primo livello conseguito presso l’Università UniTelma Sapienza di Roma. Membro del Team D&L Net dello Studio Legale Lisi**, a cui aderisce come specialista della Privacy. Membro del consiglio direttivo dell’Associazione Confcommercio Professioni Palermo, che aderisce alla Confcommercio di Palermo. Business Coach e Licensed NLP Master Practitioner iscritto nell’elenco tenuto dall’Associazione Assocoaching I° livello Disaster Manager – Assodima ______________________ ____________________________ * ANORC Professioni è un’associazione professionale, indipendente e senza scopo di lucro, iscritta nell'elenco del MISE, che rappresenta i Professionisti della digitalizzazione e i Professionisti della privacy. **Il D&L Net è un Network professionale che in modo multidisciplinare vuole garantire ai Professionisti che aderiscono una crescita sia in termini di competenze, che di attività, nelle materie del diritto dell’informatica e della protezione dei dati personali. Per tali motivi i Professionisti accettano di riconoscersi in questo Network, di mettere a disposizione con spirito collaborativo e proattivo la propria professionalità e di impegnarsi a sviluppare la rete professionale secondo una serie di diritti e doveri condivisi nel Codice che accettano di osservare.