PRIMO PIANO

Com'è stato individuato Exodus, lo spyware che ha intercettato i cellulari di centinaia di utenti

David Puente - 31/03/201916:23Aggiornato 31/03/2019 19:21

Il gruppo indipendente Security Without Borders ha individuato una nuova famiglia di spyware che hanno spiato centinaia di utenti italiani che avevano installato delle applicazioni farlocche presenti su Google Play Store. Ecco come hanno fatto e quali dati potevano essere raccolti

Il 29 marzo 2019 il gruppo indipendente Security Without Borders ha pubblicato sul proprio sito un articolo dal titolo «Exodus: Nuovo Spyware per Android Made in Italy», risultato di una ricerca su una nuova famiglia di spyware - programmi che raccolgono informazioni riguardanti l'attività online di un utente - utilizzati e inseriti all'interno di applicazioni camuffate da servizio di operatori telefonici italiani dal 2016 al 2019. Non si trattava di applicazioni ufficiali. Secondo quanto riportato dai membri del team di ricerca, il numero delle installazioni non supera le 350 unità e le vittime si trovano in Italia.

Il singolo spyware, nominato «Exodus» dal team della Security Without Borders, sarebbe stato sviluppato da una società di Catanzaro di nome eSurv, mutando forma negli anni - con i nomi «Exodus One» e «Exodus Two» - a seconda dell'applicazione dove veniva inserita. Questo tipo di spyware, oltre ad avere ampie capacità di intercettazione, poteva «esporre i dispositivi infetti a ulteriori compromissioni o a manomissioni dei dati».

Come venivano diffuse

Il programma di intercettazione doveva raggiungere un determinato numero di utenti ben specifico, contattato tramite Sms con l'invito di installare le applicazioni facendo credere che venissero offerte dagli operatori telefonici. Queste, per rendere tutto più credibile e affidabile, erano disponibili anche su Play Store di Google.

Una delle applicazioni citate nel rapporto di Security Without Borders

 

Come lavoravano Exodus One e Two

Lo scopo della prima versione di Exodus era quello di raccogliere informazioni di base per identificare il dispositivo (come il codice IMEI e il numero di telefono). La seconda versione, invece, era in grado di mantenersi in funzione ad applicazione chiusa e anche a schermo spento, anche durante l'attivazione del risparmio energetico del cellulare. Inoltre, Exodus Two era in grado di raccogliere le seguenti informazioni:

  • Recuperare una lista di applicazioni installate.
  • Registrare l'audio dell'ambiente circostante in formato 3gp utilizzando il microfono incorporato.
  • Recuperare la cronologia di navigazione e i segnalibri da Chrome e SBrowser (il browser fornito con i telefoni Samsung).
  • Estrarre gli eventi dall'app Calendario.
  • Estrarre il registro delle chiamate.
  • Registrare le chiamate telefoniche audio in formato 3gp.
  • Scattare foto con la fotocamera incorporata.
  • Raccogliere informazioni sulle celle telefoniche circostanti (BTS).
  • Estrarre la rubrica.
  • Estrarre l'elenco dei contatti dall'applicazione Facebook.
  • Estrarre i log dalle conversazioni di Facebook Messenger.
  • Prendere uno screenshot di qualsiasi applicazione in primo piano.
  • Estrarre informazioni sulle immagini dalla Galleria.
  • Estrarre informazioni dall'applicazione GMail.
  • Scaricare i dati dall'app Messenger dell'IMO.
  • Estrarre registri di chiamate, i contatti e messaggi dall'app Skype.
  • Recuperare tutti i messaggi SMS.
  • Estrarre i messaggi e la chiave di crittografia dall'app Telegram.
  • Scaricare i dati dall'app Viber Messenger.
  • Estrarre i log da WhatsApp.
  • Recuperare i file multimediali scambiati tramite WhatsApp.
  • Estrarre la password della rete Wi-Fi.
  • Estrarre i dati dall'applicazione WeChat.
  • Estrarre le coordinate GPS correnti del telefono.

 

Come è stata individuata la società eSurv

Tutti questi dati potevano essere trasmessi a un preciso indirizzo IP, ma nel giungere all'identificazione della società calabrese sono spuntati alcuni elementi molto simpatici. All'interno del codice erano presenti parole come «Mundizza» - parola dialettale probabilmente nativa di Catanzaro - e una delle chiavi usate conteneva il nome di Rino Gattuso, ex calciatore originario della Calabria:

a("MUNDIZZA", "09081427-FE30-46B7-BFC6-50425D3F85CC", ".*", false); this.b.info("UPLOADSERVICE Aggiunti i file mundizza. Dimensione coda upload {}", Integer.valueOf(this.c.size()));

char[] cArr = new char[]{'R', 'I', 'N', 'O', ' ', 'G', 'A', 'T', 'T', 'U', 'S', 'O'};

Attraverso un ulteriore ricerca condotta sull'indirizzo IP e la favicon - un'icona associata a una serie di applicazioni - sono state individuate una serie di server dove sono installati i pannelli di controllo per i sistemi di videosorveglianza della società italiana eSurv con sede a Catanzaro.

Il logo e la favicon usata dalla società, utile per la ricerca e il collegamento con Exodus.

Grazie alla collaborazione da parte di Google, all'interno del codice presente nelle vecchie applicazioni dove era stato installato lo spyware Exodus One è stato individuato un indirizzo web molto chiaro che inchioderebbe la società italiana:

public static final String HOST_IP = "attiva.exodus.esurv.it";

Un'ulteriore conferma è arrivata dalla scoperta di un Curriculum Vitae pubblico di un dipendente della società dove dichiara di sviluppare «agente per raccogliere dati da dispositivi Android e inviarli a un server C&C» riportando, inoltre, alcune delle caratteristiche associabili a Exodus.

Il CV reso pubblico da uno dei dipendenti della società di Catanzaro.

 

 

 

 

Loading ...
Failed to load data.