Exodus: Nuovo Spyware per Android Made in Italy

E' disponibile il report completo in PDF

Quando si parla di hacking di stato, c’è sempre il pericolo che le cose sfuggano al controllo di chi dovrebbe usarle lecitamente e gli esempi non sono certo mancati in passato. Per questo non sorprende più di tanto scoprire che anche le forze dell’ordine italiane non hanno gestito in maniera impeccabile il loro sistema di intercettazione informatica.

Secondo quanto riportato da un report dell’organizzazione no profit Security No Borders e dal sito Motherboard che per primo ne ha riportato i contenuti, uno dei sistemi usati dalle Forze dell’Ordine ha probabilmente spiato per errore alcune centinaia di utenti italiani che hanno scaricato delle app liberamente disponibili sul Play Store di Google.

Da quanto si legge nel rapporto, capiamo che Exodus è il sistema usato da molte procure per compiere intercettazioni a tutto tondo sui dispositivi Android dei sospettati: dalle attività su Facebook alle chat di Whatsapp, tutto poteva essere dirottato sui server dei gestori del servizio, incluse conversazioni telefoniche, rubrica dei contatti e ogni altro dettaglio. Non è chiaro se lo spyware fosse in grado di intercettare anche password inserite precedentemente alla sua installazione, mentre è lecito aspettarsi che il suo modulo di keylogging potesse intercettare quelle inserite in seguito.

Interfaccia di login per l'accesso ai dati raccolti dalle app infette da Exodus

Exodus viene usato dalle procure solo dietro autorizzazione a procedere di un giudice. A quel punto, sull’indagato vengono usate delle tecniche di ingegneria sociale per indurlo a scaricare il malware, che era presente in una ventina di versioni sullo store ufficiale di Google (a quanto pare a insaputa del grande G). Lo spyware era camuffato da app per migliorare le prestazioni dello smartphone, aggregatore di sconti e offerte o gestore della SIM. Non dimentichiamo che le aziende di telefonia italiane sono tenute a collaborare con le Forze dell’Ordine e quindi alcune comunicazioni arrivavano direttamente dall’operatore in modo da risultare più convincenti. Una volta installata, la prima app fungeva da dropper “condizionato”, inviando a server di comando e controllo il numero di IMEI e attendendo l’eventuale payload da installare. Purtroppo, a quanto pare, il controllo degli IMEI non era attivo e quindi chiunque scaricasse l’app da Google Play diventava vittima di intercettazione.

Lo spyware a cui ci riferiamo è esclusivo del nostro Paese. Ovviamente, moltissime delle forze dell’ordine del mondo hanno a disposizione strumenti simili, ma Exodus è stato sviluppato in Italia da un’azienda italiana, la eSurv di Catanzaro, e tutti i download sono stati effettuati nel nostro Paese.  Addirittura, una delle chiavi crittografiche usate all’interno del codice è “Rino Gattuso”, a confermare l’orgoglio campanilistico degli sviluppatori.

I ricercatori di Security Without Borders hanno contattato Google per segnalare quanto avevano scoperto e Big G ha provveduto a eliminare dallo store oltre 20 varianti dello spyware, aggiornando le sue misure di sicurezza per riconoscere futuri software simili. Purtroppo, non è disponibile un dato certo sul numero di download effettuati, ma i ricercatori hanno stimato che in tutto si tratti al massimo di poco più di un migliaio.

Ovviamente, tra questi ci sono gli indagati delle procure e quindi è impossibile sapere quanti normali cittadini siano caduti per errore in questo sistema, ammettendo anche l’improbabile caso che potrebbero non essercene stati. Di sicuro, i ricercatori che hanno fatto la scoperta hanno installato la prima app e ricevuto il payload, senza che nessuno si preoccupasse di disinfettare poi il dispositivo da remoto.