In questi ultimi giorni si è fatto un gran parlare di Exodus, il malware per Android individuato da un gruppo di ricercatori, il Security without Borders, nascosto da anni sul Play Store e che avrebbe infettato più di 20 app malevole mascherate da servizi / promozioni legati agli operatori telefonici.
Ecco cosa è realmente successo con Exodus, lo spyware italiano per Android che ha fatto gridare allo spionaggio governativo di massa
Trattandosi proprio di un software malevolo appartenente a quella specifica categoria di applicazioni spyware sviluppate per agevolare il lavoro di intercettazione da parte delle forze dell’ordine o dei governi, la notizia che Exodus avesse “operato” tramite lo store di Google fin dal 2016, ha fatto gridare subito allo spionaggio digitale di massa.
La vicenda, ovviamente ingigantita oltremodo dall’eco della stampa che ha subito sfruttato l’argomento per gridare allo scandalo, parlando di diverse migliaia di italiani spiati, è molto meno clamorosa di quanto riportato, anche se deve far certamente riflettere.
Secondo gli esperti di SWB, le vittime del malware definito “difettoso e mal direzionato” sarebbero poche centinaia, tutte italiane e comunque innocenti o di nessuna rilevanza per le indagini di Polizia o per la sicurezza nazionale.
La maggior parte di queste applicazioni hanno collezionato qualche decina di installazioni ciascuna e solo in un caso si è superato le 350 unità.
Tutte le vittime si trovano in Italia con le pagine Google Play Store e le relative applicazioni malevole che sono state disabilitate da Google.
A quanto pare Exodus sarebbe stato sviluppato da e-Surv, azienda calabrese che sembra operasse nell’ambito dei software di video-sorveglianza.
e-Surv sarebbe stata la vincitrice di un bando della Polizia di Stato per la creazione di un software di intercettazione “passiva e attiva”.
Lo spyware, che ricordiamo non ha innescato nessuna operazione di spionaggio e che era camuffato da app per l’assistenza telefonica, operava in due distinte fasi, la seconda delle quali permetteva l’utilizzo libero di una porta locale con lo scopo di controllare specifici servizi e analizzare i database delle altre app installate sui cellulari.
La prima fase, svolta da ‘Exodus One’ e che viene definita ‘dropper’, inviava i dati di proprietà del device (come il codice IMEI e il numero telefonico) a un server di Command & Control negli USA di proprietà di Amazon.
La seconda fase, realizzata tramite ‘Exodus Two’, procedeva a installare un file che permetteva di raccogliere dati e informazioni sensibili dell’utente il cui smartphone era infettato, come la cronologia di navigazione, i dati del calendario, la geolocalizzazione, gli accessi a Facebook Messenger e le conversazioni di WhatsApp le informazioni del calendario, la geolocalizzazione, i log di Facebook Messenger, le chat di WhatsApp.
Insomma, nonostante gli allarmismi dal tono apocalittico, la platea di utenti colpiti è davvero limitata e comunque il tutto pare riconducibile a difetti dell’applicazione.
La cosa più grave della faccenda sta nel fatto di come il Play Store si sia dimostrato ancora vulnerabile, permettendo l’ingresso di App malevole al suo interno senza che i filtri di Google siano riusciti a porvi rimedio con, nello specifico, la presenza di tali software malevoli per diversi mesi sullo store digitale dedicato ai device Android.
Nel frattempo, però, come riportato dall’ANSA, ci sono quattro indagati da parte della Procura di Napoli nell’ambito dell’inchiesta che ha fatto luce sull’architettura di Exodus
La Procura partenopea ha chiesto e ottenuto che venissero sequestrate, a scopo preventivo, sia la piattaforma informatica, sia la e-Surv (sviluppatrice dell’applicazione), sia la Stm (azienda che la commercializzava).
