Spyware: la nuova minaccia per Android e iOS nasce dall'Italia

Un nuovo pericolo spyware sta colpendo i dispositivi Android e iOS in Europa e questa volta sembra che l'Italia sia profondamente coinvolta nell'ondata di attacchi, stando a quanto si apprende dall'ultimo rapporto pubblicato dai ricercatori del TAG (Threat Analysis Group) di Google Project Zero.

Lo spyware in questione trae le sue origini da RCS Labs, un'azienda italiana che si occupa di vendere servizi di sorveglianza per le forze dell'ordine e non solo, che avrebbe realizzato un malware in grado di compromettere lo smartphone delle vittime e fornire accesso completo ai dati presenti all'interno all'attaccante. Stando al documento di Google, gli attacchi sarebbero stati eseguiti ai danni di alcuni utenti italiani e del Kazakistan.

Il rapporto di Google entra anche nel dettaglio delle modalità di attacco utilizzate dal tool di RCS Labs. Tutto comincia con un invito alla vittima a consultare una pagina web contraffatta, nella quale viene indicato che uno dei propri account è stato sospeso e che è necessario eseguire una procedura di ripristino per poter recuperare l'accesso.

Poco sotto potete trovare un'immagine di esempio che mostra come si presenta questa pagina. Nel caso illustrato vengono citati i principali servizi collegati a Meta, ovvero Facebook, Instagram e WhatsApp e il tutto viene presentato in una schermata web che riprende font e colori facilmente associabili a Facebook.

Come si può notare dal testo, viene richiesto che l'utente effettui il download di un'applicazione per procedere al recupero dell'account. Per le vittime su Android il processo è molto più semplice ed efficace, in quanto l'installazione dell'app malevola avviene senza alcun particolare ostacolo, visto che il sistema supporta nativamente la possibilità di installare file APK provenienti da fonti esterne allo store.

Una volta che la procedura è terminata, l'app in questione ha libero accesso a tantissimi aspetti dello smartphone, dal momento che i permessi richiesti includono il monitoraggio dello stato della rete, l'accesso ai contatti, ai dati dell'account della vittima e alla lettura delle eventuali memorie esterne presenti.

Per quanto riguarda iOS la procedura è più complicata, in quanto consiste nel convincere la vittima ad installare un certificato aziendale particolare prima di effettuare il sideloading dell'applicazione in questione. Se la procedura va a buon termine, questa sfrutta sei diverse falle del sistema operativo per accedere alle informazioni presenti sullo smartphone; quattro di queste sfruttano codice creato dalla community legata al jailbreak, in quanto vengono utilizzate per bypassare i processi di verifica per accedere ai permessi di root completi.

Nonostante ciò, l'impatto dello spyware su iOS è nettamente inferiore rispetto a quanto accade su Android, in quanto l'esecuzione delle app avviene in un sandbox che limita fortemente le interazioni con altre applicazioni, quindi non è possibile rubare direttamente le informazioni contenute nelle altre.

La pubblicazione di queste informazioni da parte di Google Project Zero è stata accompagnata da un messaggio d'allarme nei confronti del tool di RCS Labs, in quanto gli exploit utilizzati non sono ancora stati completamente corretti e quindi è tuttora possibile eseguire attacchi o caderne vittime.

Google è intervenuta bloccando alcuni progetti Firebase tramite alcune modifiche introdotte su Google Play Protect, mentre non è chiaro se Apple abbia già reso non utilizzabile il certificato che rende possibile l'installazione dell'app. In ogni caso è sempre bene fare attenzione quando viene suggerito di installare applicazioni esterne agli store.

Sicuramente Apple prenderà ad esempio vicende come questa per sostenere la validità della sua posizione contraria all'apertura di iOS e iPadOS alla possibilità di installare applicazioni provenienti da fonti sconosciute - come già ribadito in una sua recente difesa -, dal momento che i suoi sistemi operativi risultano molto più difficili da colpire con attacchi di questo genere.