Exodus, spyware Android spiava centinaia di italiani

Exodus, spyware Android spiava centinaia di italiani

Alcune applicazioni apparentemente provenienti da operatori telefonici sono state distribuite tramite Google Play Store. Installavano spyware che permetteva di sorvegliare le attività sui terminali. Google è stata prontamente avvertita e Procura di Napoli ha aperto un'inchiesta

di pubblicata il , alle 14:21 nel canale Sicurezza
 

Nel registro degli indagati sono attualmente iscritte 4 persone. Due le aziende coinvolte: E-surv, ideatrice dell'applicazione e la Stm che si occupava della commercializzazione. Il software che è stato distribuito tramite Google Play Store e che infettava i terminali Android sembra essere stato sviluppato in Italia, apparentemente in Calabria, e puntava a carpire dati da dispositivi di cittadini residenti in Italia.

Exodus, questo il nome dello spyware, è stato individuato da un gruppo di ricercatori, Security without Borders, prontamente segnalato a Google e quindi rimosso dallo store digitale. Sembra che abbia iniziato a circolare nel 2016, infettando centinaia di dispositivi. A quanto pare i terminali attaccati non appartengono a persone coinvolte in procedimenti giudiziari: non è chiaro se lo spyware fosse difettoso o mal indirizzato o se era deliberatamente sviluppato per finire su una moltitudine di terminali in maniera indiscriminata.

Exodus

Le applicazioni di cui si parla promuovevano generici servizi apparentemente legati a operatori telefonici non meglio definiti. Lo spyware agiva in due fasi, stando all'analisi che si può leggere sul sito di Security without Borders: una di identificazione del dispositivo infetto (in particolare il codice IMEI ed il numero di telefono) e la seconda atta a entrare in possesso di dati sensibili conservati nel dispositivo. Exodus One viene definita "dropper" e inviava i dati di proprietà del terminale a un server di Command & Control posizionato negli Stati Uniti di proprietà di Amazon. Exodus Two, invece, installava un file che raccoglieva dati e informazioni sensibili dell'utente infettato come la cronologia dei browser, le informazioni del calendario, la geolocalizzazione, i log di Facebook Messenger, le chat di WhatsApp.

Lo spyware è rimasto sullo store di Google dal 2016 fino alla prima parte del 2019. "La maggior parte di queste applicazioni hanno raccolto qualche decina di installazioni ciascuna, con un caso che superava le 350 unità. Tutte le vittime si trovano in Italia. Le pagine Google Play Store e le relative applicazioni malevole sono state disabilitate da Google" è quanto sostengono i ricercatori di Security without Borders.

Exodus

"Riteniamo che questa piattaforma spyware sia stata sviluppata da una società Italiana chiamata eSurv, di Catanzaro, che opera principalmente nel settore della videosorveglianza. Secondo informazioni disponibili pubblicamente sembra che eSurv abbia iniziato a sviluppare spyware dal 2016". Sulla rete non si trovano più tracce di questa società. Secondo quanto riferisce l'Ansa, la Procura di Napoli ha aperto un fascicolo con 4 indagati, ovvero il rappresentante legale e l’amministratore di una delle società sequestrate, la Stm srl, l’amministratore legale e il direttore delle infrastrutture It della eSurv.

"Exodus è dotato di ampie capacità di raccolta e di intercettazione. È particolarmente preoccupante che alcune delle modifiche effettuate dallo spyware potrebbero esporre i dispositivi infetti a ulteriori compromissioni o a manomissioni dei dati" leggiamo ancora nel rapporto.

Nello specifico, la fase Exodus Two usava una porta locale allo scopo di abilitare o disabilitare determinati servizi e di analizzare i database delle applicazioni. Secondo quanto si apprende dal rapporto, se un dispositivo infetto era connesso ad una rete Wi-Fi pubblica, qualsiasi altro partecipante alla rete sarebbe stato in grado di ottenere l'accesso a quel dispositivo, al di là delle procedure di autenticazione, ma semplicemente collegandosi alla porta.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
DuttZ02 Aprile 2019, 14:44 #1
Considerando che è una cosa grave, daranno i nominativi di chi è stato infettato? Mica altro, uno può pure cambiare cellulare se vuole stare tranquillo, però ci sono in ballo tutti servizi e le password che abbiamo salvato.
ik1aor02 Aprile 2019, 18:43 #2

elenco app coinvolte

Ciao,
sarebbe molto interessante leggere un elenco delle APP infette per controllare sul proprio smartphone se ne abbiamo qualcuna (vero che sono state rimosse da Play store, ma potremmo averle scaricate tempo fa).
Ciao

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^