Italiani spiati da una app: 25 varianti, centinaia di download

Fonte: Security Without Borders

La notizia arriva dal sito di Security Without Borders, aggregazione indipendente al servizio di attivisti e giornalisti nonché open source per la protezione dalle minacce digitali.

Il periodo analizzato va dal 2016 all’inizio del 2019: una nuova famiglia di spyware per Android è stata identificata, si chiama Exodus ed è stata scoperta sul Google Play Store camuffata da app di servizio di operatori telefonici.

Google ha già disattivato le app che contenevano lo spyware in 25 varianti, app che però sono state scaricate dagli utenti, tutti italiani, che così sarebbero stati intercettati e i loro dati raccolti. Secondo il calcolo di Security Without Borders si tratta di diverse centinaia di download, forse più di un migliaio, e la società che lo ha sviluppato sarebbe eSurv di Catanzaro, attiva nella videosorveglianza.

Lo spyware opera in due fasi: nella prima recupera IMEI e numero di telefono, presumibilmente per valutare se l’utente va o meno spiato. Successivamente nella fase due avviene la raccolta e l’invio di una notevole mole di dati personali.

Secondo il sito Motherboard si tratterebbe infatti di un malware governativo, cioè usato dalle forze dell’ordine per spiare determinati soggetti nell’ambito di operazioni di polizia. Le cose però sono andate diversamente, stando a Security Without Borders, cioè la fase uno in realtà non ha selezionato nessuno e tutti coloro che hanno fatto il download sono stati spiati. Esattamente quali informazioni sono state carpite? La lista è lunga, si va dalla lista delle app installate alle registrazioni audio attivate indebitamente, la cronologia del browser, gli eventi del calendario, fotografie, le celle telefoniche circostanti, la rubrica telefonica, i contatti Facebook, i log delle chat, gli sms, le password del wi-fi, le coordinate Gps. Interessante come SWB è risalito a eSurv: l’indizio sono alcune parole nel testo del software, “mundizza” e la chiave Xor (criptata) “Rino Gattuso”, la conferma sono gli indirizzi IP identificati come domini command & control delle app malevole la cui icona fav è identica al logo di eSurv.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome