Lunedì 18 Novembre 2024

Scoperto un software-spia, centinaia di italiani intercettati da "Exodus"

Centinaia di italiani intercettati, forse per errore, da un software spia programmato per i dispositivi Android dalla società calabrese eSurv, che sembra essere sparita dal web. A scoprire 'Exodus', così si chiama lo spyware che sarebbe stato utilizzato tra il 2016 e l’inizio di quest’anno, sono stati i ricercatori della società no profit Security without borders che hanno realizzato un lungo report pubblicato dal sito 'Motherboard’nel quale si parla di «malware governativo». Una storia i cui contorni sono ancora tutti da chiarire e sulla quale sta lavorando la procura di Napoli, che ha da tempo aperto un fascicolo in quanto la prima individuazione del malware è avvenuta proprio nel capoluogo campano, delegando gli accertamenti alla Polizia Postale, al Gico della Guardia di Finanza e al Ros dei Carabinieri. Anche il Copasir, il Comitato di controllo sui servizi segreti, vuole vederci chiaro e nei prossimi giorni chiederà informazioni al Dis, il Dipartimento che coordina le agenzie d’intelligence. «E' un fatto gravissimo - dice il garante della privacy Antonello Soro - su cui c'è grande preoccupazione. Faremo i dovuti approfondimenti per quanto concerne le nostre competenze, poiché la vicenda presenta contorni ancora assai incerti ed è indispensabile chiarirne l’esatta dinamica». A spiegare cosa è accaduto sono gli stessi ricercatori, che hanno avvisato Google. «Abbiamo identificato copie di uno spyware sconosciuto che sono state caricate con successo sul Google Play Store più volte nel corso di oltre due anni. Queste applicazioni sono normalmente rimaste disponibili per mesi». Dal canto suo la società californiana ha rimosso le app malevole sfuggite al controllo sicurezza e ha promesso di «rilevare meglio le future varianti di queste applicazioni», ma non ha voluto far sapere il numero totale di vittime, spiegando che si tratta di meno di un migliaio, tutte italiane. Alcuni esperti hanno poi riferito a Motherboard che l'operazione potrebbe aver colpito vittime innocenti «dal momento che lo spyware sembrerebbe essere difettoso e mal direzionato», oltre che «illegale». Le prove raccolte da Security Without Borders indicherebbero che il software spia è stato sviluppato da eSurv, un’azienda con base a Catanzaro, in Calabria che tra l’altro - dice Motherboard - avrebbe vinto un bando della Polizia per lo sviluppo di «un sistema di intercettazione passiva e attiva». Un indizio curioso che indica l'origine si troverebbe in due stringhe di codice: «mundizza» e «RINO GATTUSO». Ma «la vera pistola fumante», dicono ancora gli esperti, sarebbe il server di comando e controllo usato da diverse app trovate sul Play Store per rimandare agli operatori del malware i dati esfiltrati. Secondo i ricercatori il server condividerebbe il certificato web TLS (quello che garantisce l'identità di un sito) con altri server che appartengono ai servizi delle videocamere di sorveglianza di eSurv. Ma la società calabrese, almeno su internet, sembra essere sparita. Digitando sul web il nome eSurv compare la scritta «notfound» mentre sulla pagina Facebook della società appare la dicitura "questo contenuto non è al momento disponibile». Non è chiaro se i siti siano stati chiusi per volontà dell’azienda o siano stati in qualche modo oscurati. Exodus era progettato per camuffarsi da comuni applicazioni, come quelle per ricevere promozioni da operatori telefonici o migliorare le performance del dispositivo. Una volta installato agiva in due fasi. Nella prima raccoglieva informazioni base per identificare il dispositivo infetto, come il codice Imiei che consente di identificare in maniera univoca un telefono. Nella fase due prendeva il controllo del telefono con intercettazioni ambientali, cronologia dei browser, geolocalizzazione, i log di Facebook Messenger, le chat di WhatsApp. Secondo i ricercatori, inoltre, poiché il malware non è stato programmato per usare la crittografia, che rende segrete le informazioni, qualunque malintenzionato connesso alla stessa rete wifi del dispositivo infettato poteva hackerarlo.

leggi l'articolo completo