Exodus, spyware Android spiava centinaia di italiani

Nel registro degli indagati sono attualmente iscritte 4 persone. Due le aziende coinvolte: E-surv, ideatrice dell'applicazione e la Stm che si occupava della commercializzazione. Il software che è stato distribuito tramite Google Play Store e che infettava i terminali Android sembra essere stato sviluppato in Italia, apparentemente in Calabria, e puntava a carpire dati da dispositivi di cittadini residenti in Italia.

Exodus, questo il nome dello spyware, è stato individuato da un gruppo di ricercatori, Security without Borders, prontamente segnalato a Google e quindi rimosso dallo store digitale. Sembra che abbia iniziato a circolare nel 2016, infettando centinaia di dispositivi. A quanto pare i terminali attaccati non appartengono a persone coinvolte in procedimenti giudiziari: non è chiaro se lo spyware fosse difettoso o mal indirizzato o se era deliberatamente sviluppato per finire su una moltitudine di terminali in maniera indiscriminata.

Le applicazioni di cui si parla promuovevano generici servizi apparentemente legati a operatori telefonici non meglio definiti. Lo spyware agiva in due fasi, stando all'analisi che si può leggere sul sito di Security without Borders: una di identificazione del dispositivo infetto (in particolare il codice IMEI ed il numero di telefono) e la seconda atta a entrare in possesso di dati sensibili conservati nel dispositivo. Exodus One viene definita "dropper" e inviava i dati di proprietà del terminale a un server di Command & Control posizionato negli Stati Uniti di proprietà di Amazon. Exodus Two, invece, installava un file che raccoglieva dati e informazioni sensibili dell'utente infettato come la cronologia dei browser, le informazioni del calendario, la geolocalizzazione, i log di Facebook Messenger, le chat di WhatsApp.

Lo spyware è rimasto sullo store di Google dal 2016 fino alla prima parte del 2019. "La maggior parte di queste applicazioni hanno raccolto qualche decina di installazioni ciascuna, con un caso che superava le 350 unità. Tutte le vittime si trovano in Italia. Le pagine Google Play Store e le relative applicazioni malevole sono state disabilitate da Google" è quanto sostengono i ricercatori di Security without Borders.

"Riteniamo che questa piattaforma spyware sia stata sviluppata da una società Italiana chiamata eSurv, di Catanzaro, che opera principalmente nel settore della videosorveglianza. Secondo informazioni disponibili pubblicamente sembra che eSurv abbia iniziato a sviluppare spyware dal 2016". Sulla rete non si trovano più tracce di questa società. Secondo quanto riferisce l'Ansa, la Procura di Napoli ha aperto un fascicolo con 4 indagati, ovvero il rappresentante legale e l’amministratore di una delle società sequestrate, la Stm srl, l’amministratore legale e il direttore delle infrastrutture It della eSurv.

"Exodus è dotato di ampie capacità di raccolta e di intercettazione. È particolarmente preoccupante che alcune delle modifiche effettuate dallo spyware potrebbero esporre i dispositivi infetti a ulteriori compromissioni o a manomissioni dei dati" leggiamo ancora nel rapporto.

Nello specifico, la fase Exodus Two usava una porta locale allo scopo di abilitare o disabilitare determinati servizi e di analizzare i database delle applicazioni. Secondo quanto si apprende dal rapporto, se un dispositivo infetto era connesso ad una rete Wi-Fi pubblica, qualsiasi altro partecipante alla rete sarebbe stato in grado di ottenere l'accesso a quel dispositivo, al di là delle procedure di autenticazione, ma semplicemente collegandosi alla porta.