Video: Come controllare che versione di WhatsApp hai installata e se è vulnerabile ad attacchi hacker (Settembre 2024)
I ricercatori della sicurezza hanno analizzato e analizzato i componenti mobili dello spyware commerciale utilizzati dai governi di tutto il mondo che possono essere utilizzati per registrare e rubare di nascosto i dati dai dispositivi mobili.
Sviluppati dalla società italiana Hacking Team, i moduli mobili per il sistema di controllo remoto consentono alle forze dell'ordine e alle agenzie di intelligence di eseguire una vasta gamma di azioni di sorveglianza su dispositivi Android, iOS, Windows Mobile e BlackBerry, secondo i ricercatori di Kaspersky Lab e Citizen Lab alla Munk School of Global Affairs dell'Università di Toronto. Hacking Team vende RCS, noto anche come Da Vinci e Galileo, ai governi per spiare computer desktop, laptop e dispositivi mobili. In alcuni paesi, RCS è utilizzato per spiare dissidenti politici, giornalisti, sostenitori dei diritti umani e figure politiche opposte.
I ricercatori di Kaspersky Lab e Citizen Lab hanno retroingegnerizzato congiuntamente i moduli mobili e Morgan Marquis-Boire di Citizen Lab e Sergey Golovanov di Kaspersky hanno presentato le loro scoperte durante un evento stampa a Londra martedì.
"È risaputo da tempo che i prodotti HackingTeam includevano malware per telefoni cellulari. Tuttavia, questi sono stati visti raramente", ha scritto Golovanov sul blog Securelist.
Cosa può fare RCS
I componenti iOS e Android possono registrare sequenze di tasti, ottenere dati sulla cronologia delle ricerche e consentire la raccolta nascosta di e-mail, messaggi di testo (anche quelli inviati da app come WhatsApp), cronologia delle chiamate e rubriche. Possono acquisire schermate dello schermo della vittima, scattare foto con la fotocamera del telefono o attivare il GPS per monitorare la posizione della vittima. Possono anche accendere il microfono per registrare telefonate e chiamate Skype, nonché conversazioni che si verificano in prossimità del dispositivo.
"L'attivazione segreta del microfono e l'esecuzione di scatti regolari con la videocamera forniscono una sorveglianza costante del bersaglio, che è molto più potente delle tradizionali operazioni con mantello e pugnale", ha scritto Golovanov.
I componenti mobili sono realizzati su misura per ciascun target, hanno affermato i ricercatori. "Una volta che il campione è pronto, l'aggressore lo consegna al dispositivo mobile della vittima. Alcuni dei vettori di infezione noti includono lo spearphishing tramite il social engineering - spesso associato a exploit, inclusi zero-day; e infezioni locali tramite cavi USB durante la sincronizzazione mobile dispositivi ", ha detto Golovanov.
Il lungo braccio di sorveglianza
RCS ha una portata globale enorme, con i ricercatori che hanno identificato 326 server in più di 40 paesi. La maggior parte dei server di comando erano ospitati negli Stati Uniti, seguiti da Kazakistan, Ecuador, Regno Unito e Canada. Il fatto che i server di comando si trovino in quei paesi non significa necessariamente che le forze dell'ordine in quei paesi stiano usando RCS, hanno detto i ricercatori.
"Tuttavia, ha senso per gli utenti di RCS distribuire C&C in luoghi che controllano, dove vi sono rischi minimi di problemi legali transfrontalieri o sequestri di server", ha dichiarato Golovanov.
Gli ultimi risultati si basano su un precedente rapporto di marzo in cui i ricercatori hanno scoperto che almeno il 20 percento dell'infrastruttura RCS si trovava all'interno di una dozzina di data center negli Stati Uniti.
Nascondersi in modalità invisibile
I ricercatori di Citizen Lab hanno trovato un payload dell'Hacking Team in un'app per Android che sembrava essere una copia di Qatif Today, un'app di notizie araba. Questo tipo di tattica, in cui i payload dannosi vengono iniettati in copie di app legittime, è abbastanza comune nel mondo Android. Il payload tenta di sfruttare una vulnerabilità nelle versioni precedenti del sistema operativo Android per ottenere l'accesso come root sul dispositivo.
"Mentre questo exploit non sarebbe efficace contro l'ultima versione del sistema operativo Android, un'alta percentuale di utenti utilizza ancora versioni legacy che potrebbero essere vulnerabili", hanno scritto i ricercatori di Citizen Lab in un post sul blog.
Entrambi i moduli Android e iOS utilizzano tecniche avanzate per evitare di scaricare la batteria del telefono, limitando quando esegue determinati compiti a condizioni specifiche e operando in modo discreto in modo che le vittime rimangano inconsapevoli. Ad esempio, il microfono potrebbe essere acceso e una registrazione audio fatta solo quando la vittima è connessa a una particolare rete WiFi, ha detto Golovanov.
I ricercatori hanno scoperto che il modulo iOS interessa solo i dispositivi jailbreak. Tuttavia, se il dispositivo iOS è collegato a un computer infetto dalla versione desktop o laptop del software, il malware può eseguire in remoto strumenti di jailbreak come Evasi0n per caricare il modulo dannoso. Tutto ciò sarebbe fatto all'insaputa della vittima.
Citizen Lab ha anche ricevuto una copia di quello che sembra essere il manuale dell'utente del Team di hacking da una fonte anonima. Il documento spiega in dettaglio come costruire l'infrastruttura di sorveglianza per consegnare i payload dannosi alle vittime, come gestire i dati di intelligence raccolti dai dispositivi delle vittime e persino come ottenere certificati di firma del codice.
Ad esempio, il manuale suggerisce l'utilizzo di Verisign, Thawte e GoDaddy per i certificati. Agli aggressori viene richiesto di acquistare un "Certificato per gli sviluppatori" direttamente da TrustCenter se il target utilizzerà un dispositivo Symbian e di registrarsi per un account Microsoft e un account Dev Center di Windows Phone per infettare Windows Phone.
L'ipotesi alla base di questo tipo di software di sorveglianza è che gli acquirenti useranno questi strumenti principalmente a fini di contrasto e che gli elementi criminali non avranno accesso ad essi. Tuttavia, il fatto che questi siano disponibili significa che possono essere utilizzati contro obiettivi motivati politicamente, il che ha alcune gravi implicazioni per la sicurezza e la privacy complessive.
