Exodus, hacker dello Stato intercettano per sbaglio il telefono oltre mille cittadini “onesti”
Pubblicato il 30 Marzo 2019 - 15:22 OLTRE 6 MESI FA
Exodus, hacker dello Stato intercettano per sbaglio il telefono oltre mille cittadini italiani
ROMA – Uno spyware per intercettare gli smartphone dei criminali. Questo è Exodus, il software creato dagli hacker di Stato e utilizzato dalle Procure per intercettare e monitorare chi è sospettato di attività criminali. Per un errore di programmazione, però, lo spyware creato dalla eSury, azienda calabrese, ha iniziato a spiare anche oltre mille cittadini onesti. A scoprire l’errore e denunciarlo è stata la società no profit Security No Borders, ma la Procura di Napoli da tempo aveva aperto un fascicolo sul caso.
Nel rapporto redatto dalla Security No Borders, che ha avviato una inchiesta in collaborazione con la rivista Motherboard, è stato pubblicato la lunga lista di cose che lo spyware permette di fare, dato che con esso è possibile gestire a distanza il cellulare dell’utente. Il software permette infatti di registrare le telefonate, i suoni ambientali, copiare la rubrica e il registro chiamate di chi è “infettato”. Inoltre dà accesso alla posizione Gps, alle conversazioni Facebook e tramite la password del wi-fi anche alla rete domestica dell’utente, permettendo di fare ulteriori intercettazioni.
Solitamente, quando il giudice dà il via libera all’intercettazione, l’intercettato viene indotto con l’inganno a scaricare lo spyware attraverso una app con ad esempio la promessa di unno sconto o la necessità di un aggiornamento. Il problema in questo caso è che le app dotate di spyware sono risultate scaricabili da qualsiasi utente, non solo da quelli monitorati dagli inquirenti. Inoltre persone vicine all’intercettato avrebbero potuto a loro volta usare Exodus per spiarlo.
I ricercatori che hanno individuato lo spyware hanno spiegato all’Ansa: “Riteniamo che sia stato sviluppato dalla società eSurv, di Catanzaro, dal 2016. Abbiamo identificato copie di uno spyware sconosciuto che sono state caricate con successo sul Google Play Store più volte nel corso di oltre due anni. Queste applicazioni sono normalmente rimaste disponibili per mesi”.
Google, proprietaria di Play Store, negozio digitale dove si scaricano le app, contattata dai ricercatori ha rimosso le applicazioni e ha dichiarato che “grazie a modelli di rilevamento avanzati, Google Play Protect sarà ora in grado di rilevare meglio le future varianti di queste applicazioni”.
Alcuni esperti hanno riferito a Motherboard che l’operazione potrebbe aver colpito vittime innocenti “dal momento che lo spyware sembrerebbe essere difettoso e mal direzionato. Esperti legali e delle forze dell’ordine hanno riferito al sito che lo spyware potrebbe essere illegale”.
Il software spia agiva in due step. Exodus One raccoglieva informazioni base di identificazione del dispositivo infetto (in particolare il codice Imiei che consente di identificare in maniera unica uno telefono ed il numero del cellulare). Una volta individuate queste informazioni si passava alla fase Exodus Two, veniva installato un file che raccoglieva dati e informazioni sensibili dell’utente infettato come la cronologia dei browser, le informazioni del calendario, la geolocalizzazione, i log di Facebook Messenger, le chat di WhatsApp.
Secondo gli esperti, il software spia è stato utilizzato tra il 2016 all’inizio del 2019, copie dello spyware sono state trovate caricate sul Google Play Store, camuffate da applicazioni di servizio di operatori telefonici. Sia le pagine di Google Play Store che le finte interfacce di queste applicazioni malevole sono in italiano. Secondo le statistiche pubblicamente disponibili, in aggiunta ad una conferma di Google, la maggior parte di queste applicazioni hanno raccolto qualche decina di installazioni ciascuna, con un caso che superava le 350 unità. Tutte le vittime si trovano in Italia.
Intanto la Procura di Napoli ha aperto un fascicolo d’indagine Exodus. A coordinare l’attività investigativa, che interessa tutto il territorio nazionale, è il procuratore capo Giovanni Melillo. Secondo quanto si apprende, il fascicolo è stato aperto tempo fa: la prima individuazione del malware è infatti avvenuta proprio nel capoluogo partenopeo. (Ansa)
