Exodus, eSurv: storia di uno spyware italiano

App infette distribuite attraverso Play Store, un'azienda italiana, finanziamenti dalla Polizia di Stato: la complessa vicenda dello spyware Exodus.

Diverse centinaia di italiani infettati da uno spyware presumibilmente sviluppato da un’azienda nostrana, distribuito sui dispositivi Android mediante la piattaforma ufficiale Play Store e capace di passare attraverso i filtri di sicurezza approntati da Google senza destare alcun sospetto. Quella legata a Exodus è una vicenda complessa, ancora in gran parte da chiarire.

Exodus, lo spyware made in Italy

A scriverne è Motherboard, con un lungo intervento in cui vengono citate le ricerche condotte da Security Without Borders, ESET e Trail of Bits. Si fa un uso abbondante del condizionale poiché mancano conferme e dichiarazioni da parte dei diretti interessati. Partiamo da quel che è certo: per circa due anni qualcuno ha distribuito malware in grado di colpire i dispositivi delle vittime non solo esponendo le informazioni in essi contenute, ma anche rendendoli vulnerabili ad attacchi perpetrati da parte di terzi.

Google ha comunicato di aver trovato sulla piattaforma Play Store ben 25 versioni differenti del codice maligno, passate inosservate dalle scansioni eseguite in fase di upload e nascoste all’interno di applicazioni offerte poi agli utenti con finalità come l’ottenimento di tariffe telefoniche vantaggiose o il miglioramento delle prestazioni dello smartphone. Ne riportiamo due screenshot di seguito, estratti dal report di Security Without Borders.

Due delle applicazioni infette, distribuite su Play Store

Il nome, Exodus, fa riferimento a quello attribuito al server C&C (Command and Control) sfruttato per la connessione delle app e per lo scambio dei dati. Il funzionamento del codice maligno prevede due step. Il primo si limita a controllare il numero di telefono e il codice IMEI dello smartphone. Il secondo avviene successivamente: attraverso il download di un archivio viene installato il malware vero e proprio, senza che l’utente ne sia a conoscenza. È bene tenere a mente questa distinzione, poco più avanti spiegheremo il perché.

eSurve, la “mundizza” e “RINO GATTUSO”

Le indagini svolte dai ricercatori conducono all’azienda eSurv con sede a Catanzaro, identificata poiché il già citato server C&C fa leva sullo stesso certificato TLS impiegato dalla società per l’erogazione del proprio servizio di videosorveglianza. A rafforzare l’ipotesi alcuni riferimenti scovati tra le righe di codice: “mundizza” e “RINO GATTUSO”, il primo termine dialettale calabrese e il secondo una sorta di omaggio al noto calciatore originario della zona. Contattata per chiarimenti, l’azienda ha negato un proprio coinvolgimento. Il sito ufficiale è al momento irraggiungibile, ma visitabile facendo riferimento alla Wayback Machine dell’Internet Archive.

L’innovazione dirompente di eSurv viene utilizzata quotidianamente da numerosi clienti. Con la sua facilità di utilizzo, la possibilità di gestione da qualunque browser e l’efficace analisi video dei suoi Smart Plug-in, eSurv sta rivoluzionando il modo di fare videosorveglianza, di aziende e pubbliche amministrazioni, di ogni dimensione.

Motherboard cita inoltre un dipendente che, nel proprio curriculum su LinkedIn, dichiara di aver sviluppato “un agente applicativo per raccogliere dati dai dispositivi Android e inviarli a un server C&C”. Riportiamo l’informazione così come pubblicata dalla fonte, non avendo modo di verificarla poiché la pagina di eSurv sulla piattaforma non risulta al momento accessibile.

Polizia di Stato e intercettazioni

Il software potrebbe essere stato sviluppato come parte di un progetto finanziato dalla Polizia di Stato, ma anche in questo caso utilizzare il condizionale è d’obbligo. Un documento pubblicato sul sito dell’autorità (a pagina 11) rivela infatti che eSurv ha ricevuto in data 6 novembre 2017 un versamento pari a 307.439,90 euro. La spesa è giustificata come “Acquisto di beni e servizi”, più nel dettaglio di un “Sistema di intercettazione attiva e passiva”.

Si tratta dunque di uno spyware destinato all’impiego nelle indagini? La pratica è consentita dal nostro ordinamento, ma solo previo mandato all’interno di un procedimento giudiziario e con modalità ben precise. In questo caso i confini fissati per legge sono stati ampiamente superati: non ci si è limitati all’acquisizione di registrazioni audio e video, equiparabili a quelle ottenute un tempo con microfoni o telecamere nascoste, ma si è arrivati a mettere le mani su dati sensibili come chiamate, cronologia di navigazione, informazioni inserite nel calendario, spostamenti e chat.

Se il primo dei due step che regolano il comportamento di Exodus (lettura di numero di telefono e IMEI) può rientrare nell’ambito di un impiego da parte delle autorità, così da assicurarsi che il dispositivo preso di mira sia concretamente quello della persona da intercettare, il passo successivo non può essere considerato legale. Ancor più grave, il codice espone potenzialmente lo smartphone all’azione malevola di chiunque connesso alla stessa rete WiFi aprendo una porta di accesso ai dati. Viene inoltre attivata una shell per l’esecuzione di qualsiasi comando da remoto.

Google: Play Store e i malware

Come scritto in apertura, la vicenda è complessa e presenta numerosi punti da chiarire. Andranno attribuite precise responsabilità. A Google anzitutto quella di implementare misure più efficaci per evitare che malcapitati utenti possano imbattersi in applicazioni infette attraverso download da Play Store, la piattaforma ufficiale dell’ecosistema Android.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • PiegoAngela scrive:
    Il GrandeFratello lo teniamo sempre con noi (io no, ndr) in ogni momento della giornata, manco fosse un bambino di 5 mesi. Prima o poi al popolo occidentale opulento qualcuno glielo dovrà scoppiare il palloncino dove dentro aleggiano le loro belle illusioni-fandonie-sogni nel cassetto-una marea di inutili m1nch1at3 dicendogli che vive costamente in una galera senza sbarre, senza mura e sorvegliato 24/7. Queste storie (una fra tutte quella di HackTeam, ndr) hanno tutte un valore politico, e manco per il ca33o un valore "anti-terrorista". Il Sistema ombra si potregge da chi lo sostenta. Pensate alla "Fattoria degli Animali". I "terroristi" so' così caproni che non ce vole tutto st'armamento per fregarli / stanarli. Boh, forse a fine umanità qualcuno lo dirà che dall'Antico Impero Romano non siamo mai usciti, e che viviamo soltanto in un evolzuione di esso (tutt'ora).
  • bubba scrive:
    "ancora in gran parte da chiarire".. mhh dite? non mi pare. L'unica cosa poco chiara e' come mai le FFOO hanno commissionato del crapware, pagandolo ben 300000eu. L'hackingteam e area facevano roba di altro livello :P
    • PiegoAngela scrive:
      Tu l'hai viste le fatture di HT? Sono allucinanti a chi e quanto e cosa è stato venduto. Sì, davvero di altro(alto) livello se paragonate.
      • bubba scrive:
        oh si.. ho guardato quella roba per settimane :) Cmq vedo che la roba diventa sempre piu' penosa.... https://www.open.online/primo-piano/2019/04/01/news/exodus_i_dati_erano_accessibili_senza_controlli_conservati_all_estero_-183359/ Eh niente.... ci si mette proprio a raschiare il barile... meglio se le procure rimanevano con i coder consolidati del nord :P
        • bubba scrive:
          anzi aggiungo pure questo. che chiude il cerchio. :( https://www.corrieredellacalabria.it/regione/cosenza/item/181376-lo-spionaggio-di-stato-coinvolge-magistrati-e-investigatori-calabresi/
Fonte: Motherboard
Chiudi i commenti