App

iOS e Android sotto attacco: uno spyware colpisce gli utenti italiani

iOS e Android sotto attacco: uno spyware colpisce gli utenti italiani
Alessandro Nodari
Alessandro Nodari

C'è un nuovo pericolo per gli utenti italiani di Android e iOS, ed è Google stessa a rivelarlo attraverso il suo Project Zero, il team dell'azienda che ha il compito di scoprire e segnalare privatamente i difetti di sicurezza riscontrati nei prodotti. 

Il rapporto, pubblicato giovedì, mostra i dettagli di questo attacco, che si cela dietro un'applicazione poi risultata uno spyware che ruba le informazioni personali. Il responsabile di questo attacco è secondo Google una società italiana, RCS Labs, che ha preso di mira gli utenti in Italia, ma anche in Kazakistan, utilizzando "una combinazione di tattiche" tra cui un attacco drive-by download atipico come vettore di infezione iniziale. Inoltre Google afferma che questo tipi di attacchi vengono sviluppati da fornitori commerciali per poi essere venduti e utilizzati da attori sostenuti da governi.

Canale Telegram Offerte

Come colpisce lo spyware

Ma come funziona questo attacco? Secondo Google, tutte le campagne osservate hanno avuto origine con un link inviato al target. In alcuni casi, l'azienda ritiene che i responsabili abbiano collaborato con l'ISP del target per disabilitare la connettività dati mobile. Una volta disabilitato, l'attaccante inviava un collegamento dannoso tramite SMS chiedendo al bersaglio di installare un'applicazione per recuperare la connettività o i dati dell'account.

Una volta che la vittima si collegava al sito indicato, gli venivano mostrati loghi reali e richieste realistiche per il ripristino dell'account, con il collegamento per scaricare l'applicazione dannosa nascosta dietro pulsanti e icone dall'aspetto ufficiale. La maggior parte delle applicazioni era mascherata da applicazioni per operatori mobili e quando il coinvolgimento dell'ISP non era possibile, le applicazioni avevano le sembianze di applicazioni di messaggistica o di alcuni produttori di telefoni.

Dal punto di vista tecnico, La versione Android dello spyware utilizzava un file .apk (senza bisogno di certificati speciali) che una volta installato otteneva autorizzazioni come l'accesso alla rete, le credenziali dell'utente, i dettagli di contatto e la lettura dei dispositivi di archiviazione esterni forniti. Google ha emesso una serie di avvisi per le vittime di questa campagna, ha apportato modifiche a Google Play Protect e disabilitato alcuni progetti Firebase utilizzati dagli aggressori. In ogni caso, il consiglio è sempre quello di non cliccare su link ricevuti via SMS e non installare applicazioni fuori dal Play Store.

Ma le vittime con iOS? Venivano indotte a installare un certificato destinato alle aziende che consentiva all'app dannosa di aggirare le protezioni dell'App Store contro il sideload. La versione iOS dello spyware era divisa in più parti e utilizzava sei diversi exploit di sistema, di cui quattro imputabili alla comunità del jailbreak, per bypassare il livello di verifica e sbloccare l'accesso root in modo da estrarre informazioni dal dispositivo. 

Fortunatamente per gli utenti iOS, il sandboxing ha permesso di limitare la quantità di dati estratti: nella maggior parte dei casi è stato ottenuto il database locale di WhatsApp. Come si può ben capire, il pericolo qui è rappresentato dall'installazione di un certificato speciale. Ancora non si sa se Apple lo abbia invalidato, ma il consiglio è lo stesso che per Android: non cliccare mai sui link ricevuti via SMS.

Mostra i commenti