I governi spieranno. La questione di come farlo dipende da loro. È il caso del mercato dello spyware commerciale, dove le forze dell’ordine hanno cercato di aggirare la crittografia degli smartphone e di incriminare un maggior numero di sospetti. I cittadini hanno ragione a preoccuparsi, se si aspettano che il loro governo stia cercando di schiacciare il dissenso mantenendo un regime di sorveglianza globale. Questa settimana, alcuni gruppi di ricerca sembrano aver individuato un software spia particolarmente insidioso che si è fatto strada in diversi Paesi e che può persino utilizzare un kill-switch autorizzato dall’ISP che essenzialmente costringe l’utente a installarlo.
Il Threat Analysis Group di Google e Lookout Research hanno entrambi individuato questo spyware, soprannominato “Hermit” e distribuito dai fornitori commerciali Tykelabs e RCS Labs dall’Italia. Lookout ritiene che Hermit sia apparso per la prima volta in Italia, dove il governo ne ha fatto un uso improprio in una campagna anti-corruzione lo scorso anno. Da allora è stato avvistato in Siria, dove si ritiene che il governo di Bashar al-Assad lo abbia utilizzato sotto le spoglie di una fonte di notizie dei ribelli filo-curdi per infiltrarsi tra i membri delle tribù nel nord-est del Paese. Si ritiene che anche il Kazakistan abbia utilizzato Hermit per spiare i cittadini che hanno protestato contro la decisione del governo di abolire il limite di prezzo per il gas naturale liquefatto – il combustibile principale nel Paese ex sovietico – che ha portato a un’impennata dei costi.
Il software viene solitamente fornito tramite un messaggio di testo che rimanda a un’applicazione che l’utente deve scaricare. “In alcuni casi, riteniamo che gli attori abbiano collaborato con l’ISP dell’obiettivo per disabilitare la connettività dati mobile dell’obiettivo”, osserva Google. “Una volta disattivata, l’aggressore inviava un link dannoso via SMS chiedendo all’obiettivo di installare un’applicazione per ripristinare la connettività dati. Riteniamo che questo sia il motivo per cui la maggior parte delle applicazioni si è mascherata da applicazioni dell’operatore mobile”.
Hermit può essere eseguito sul sito web in background o all’interno dell’applicazione, dove recupera i moduli malware da remoto. Il software può utilizzare exploit di root del dispositivo per effettuare e reindirizzare le chiamate, nonché registrare audio, cronologia delle chiamate, contatti e altre informazioni.
Google riferisce che la distribuzione delle app Hermit per iOS è stata facile per gli autori del reato, poiché sono firmate con certificati di un partner aziendale esistente con licenza Apple. Apple ha dichiarato a TechCrunch di aver revocato gli account associati alle relative campagne. Queste applicazioni privilegiate possono essere caricate lateralmente e non devono comparire nell’App Store. Un’applicazione Android rilevata dal Threat Analysis Group sembrava apparire come un’applicazione di supporto software Samsung e il malware ha dovuto essere recuperato da remoto. Google afferma di aver ritirato l’accesso ai server Firebase da cui le app accedevano ai moduli.
Tutto questo può essere piuttosto spaventoso, ma tutto dipende da voi in termini di quali app installate, da dove le installate e se vi fidate della fonte.
