Un nuovo tipo di spyware Android si impossessa degli smartphone degli utenti e non lascia traccie.
Analizzando un malware fornito da una delle vittime, un gruppo di esperti di sicurezza informatica ha scoperto un nuovo spyware: il software sospetto si presenta come un aggiornamento, apparentemente legato a un APN Vodafone, che richiede quasi tutti i permessi possibili.
Gli esperti hanno dichiarato che il visur in questione presenta le normali capacità della maggior parte degli spyware: dopo che viene eseguito la prima volta riesce a rimuoversi automaticamente dal programma di avvio rimandendo però sul dispositivo infettato. In questo modo riesce a lavorare “di nascosto” quando la vittima accede al dispositivo.
Lo spyware Android prende così possesso di tutte le autorizzazioni, fornendo agli hacker l’accesso ai registri delle chiamate, ai contatti in rubrica, alle connessioni di rete, alla messaggistica e molto altro ancora. Tale software malevolo, per esempio, riesce a registrare video e audio, attivare o disattivare la funzionalità GPS e accedere (e modificare) i dati presenti sul dispositivo.
Spyware Android Made in Italy?
I ricercatori hanno ricevuto il campione dello spyware Android da una delle sue vittime, un anonimo dipendente di un governo di cui non si conosce l’identità. Nelle prime fasi dell’indagine, pensavano che il malware avesse avuto origine dal famoso fornitore di software di sorveglianza italiana Hacking Team (che ha tra i suoi clienti governi e forze dell’ordine italiani e internazionali). Al momento, invece, la fonte sembrerebbe essere Raxir, start-up napoletana attiva nella fornitura di spyware per enti governativi. Gli esperti infatti, in un primo tempo, hanno riferito di ritenere Hacking Team la possibile origine dello spyware Android citando come indizi due indirizzi IP precedentemente legati alla società e il fatto che il codice malware fosse in italiano. La seconda ipotesi, invece, è avanzata a seguito della scoperta che un certificato digitale impiegato dal server di comando e controllo del malware sarebbe riconducibile a Raxir. “Anche se non possiamo rilasciare questi file a causa di un accordo con il nostro contatto e di un’indagine penale ancora in corso – dichiarano i ricercatori – siamo stati in grado di trovare, attraverso altri feed pubblici, molti file simili al campione che ci è stato fornito”.
I governi e gli strumenti di sorveglianza digitale
Hacking Team l’anno scorso ha subito una grave violazione dei dati a seguito di cui i criminali informatici hanno pubblicato ben 400 GB di dati tra cui erano presenti vari documenti interni, il codice sorgente e le vulnerabilità zero-day che la società utilizzava per diffondere il suo software di sorveglianza.
Questa importante violazione ha messo in luce le modalità con cui agenzie governative di numerosi Paesi avessero acquistato spyware e strumenti di sorveglianza digitali.
