Hacker
Roma, 30 marzo 2019. Centinaia di italiani spiati dopo aver scaricato una app che aveva ricevuto il via libera da Google. Lo spyware, un software in grado di raccogliere e inviare tutte le informazioni che trova su un dispositivo infettato, si chiama Exodus e secondo i ricercatori di Security Without Borders e Motherboard sarebbe stato sviluppato dalla società eSurv di Catanzaro. Gli esperti hanno scoperto che il programma, in almeno 25 differenti versioni, è stato utilizzato a partire dal 2016. “Copie di Exodus sono state trovate sul Google Play Store, camuffate da applicazioni di servizio di operatori telefonici. Sia le pagine sul negozio virtuale per cellulari Android che le finte interfacce di queste applicazioni malevole sono in lingua italiana”. Secondo le statistiche dello store, la maggior parte di queste applicazioni è stata installata una decina di volte. Solo una ha superato i 350 download. “Gli utenti infettati – ha fatto sapere Google, dopo aver disabilitato tutti i malware – sono meno di mille e tutti italiani”.
Ma come funziona Exodus? Il software, una volta installato, raccoglie informazioni sul dispositivo infettato. Dopo aver recuperato il codice Imei (che identifica in modo univoco lo smartphone) e il numero di telefono associato alla scheda Sim li invia al server di Command & Control. Un'operazione che serve agli hacker per capire se un cellulare sia stato colpito con successo e, nel caso in cui ci sia la supervisione delle forze dell'ordine, uno step necessario per dare il successivo via libera alle intercettazioni. Secondo Security Without Borders, però il software dava automaticamente l'ok alla fase di intrusione. “Questo suggerisce che gli operatori del Command & Control – scrivono i ricercatori - non stiano applicando una validazione dei target”.
Una volta infettato il dispositivo, lo spyware raccoglie tutte le informazioni che trova e le invia su un server sicuro. Come se non bastasse, il programma è in grado di trasformare gli smartphone in veri e propri microfoni ambientali, registrando tutti i suoni e le conversazioni che capta. Tra le altre cose può scattare fotografie a nostra insaputa e recuperare tutti i file inviati tramite WhatsApp. Il programma, che cancella costantemente le proprie tracce, è inoltre in grado di aggirare le impostazioni di risparmio energetico, continuando a funzionare anche quando lo schermo si spegne.
Per individuare la società produttrice dello spyware, i ricercatori hanno spulciato migliaia di righe di codice. Gli sforzi sono stati fruttuosi: dall'analisi sono emerse diverse tracce lasciate dai programmatori. Due in particolare hanno fatto drizzare le antenne a Security Without Borders. Nel decompilato di Exodus Two si trova la parola dialettale 'Mundizza', che è il modo in cui a Catanzaro chiamano la spazzatura. In altre copie è stata inoltre trovata la chiave Rino Gattuso. L'allenatore del Milan è nato in Calabria, dove è considerato un vero e proprio eroe. Ma è stata l'analisi dei server a cui venivano inviate le informazioni a mettere sulla buona strada i ricercatori. Dopo diversi tentativi si è scoperto che erano gli stessi che utilizzavano i sistemi di videosorveglianza sviluppati dalla eSurv, con sede a Catanzaro. L'azienda ha ottenuto diverse commesse dalla Polizia di Stato. Quel che è peggio è che molte persone potrebbero essere state infettate senza che ce ne fosse un reale bisogno. “Non è stato fatto nulla – conclude Motherboard – per impedire che ciò accadesse”.