Google riferisce di avere individuato un attacco spyware in corso che prende di mira sia iPhone che smartphone Android, in grado di rubare dati dai dispositivi: secondo la divisione sicurezza di Big G gli strumenti software impiegati nell’attacco spyware in questione sarebbero statati sviluppati da RCS Lab, azienda italiana specializzata nella sorveglianza delle comunicazioni. Gli attacchi in corso e gli strumenti impiegati prendono di mira sopratutto utenti in Italia e anche in Kazakistan.
Secondo Google l’app sarebbe stata sviluppata da RCS Lab, un’impresa italiana che “fornisce soluzioni tecnologiche di punta a servizi di sicurezza per la sorveglianza delle comunicazioni”.
Il sistema di attacco consiste nell’inviare all’utente obiettivo un messaggio come se fosse partito da un amico/un conoscente, oppure da una società con la quale è abbonato, invitando ad accedere a un link indicato per poter ripristinare un servizio. Il link mostra la finta pagina di un provider o app di messaggistica, con marchi (es. quello di Samsung) che servono ad ingannare il malcapitato.
La versione per Android del malware invita a scaricare un file .APK che è possibile installare senza bisogno di certificati speciali. Una volta avviata l’app, questa può accedere allo stato della rete, alle credenziali dell’utente, ai contatti, leggere memorie esterne collegate al dispositivo.
Più complicato il procedimento usato per colpire gli utenti iPhone: questi sono invitati a installare un certificato di distribuzione enterprise (quelli che normalmente servono per creare e distribuire app iOS aziendali proprietarie per uso interno). Se l’utente segue le indicazioni, si arriva a installare una app aziendale personalizzata, che iOS ritiene affidabile dopo che l’utente conferma l’attendibilità.
La versione iOS dell’app malevola sfrutta sei diversi sistemi per estrapolare le informazioni dal dispositivo, compresi exploit tipicamente usati nelle community che si occupano di jailbreaking (le procedure che permettono di rimuovere le restrizioni software e di sicurezza imposte da Apple nei dispositivi). Per via dei meccanismi di sicurezza di sandboxing dei sistemi operativi Apple i dati che è possibile estrarre dai dispositivi iOS, sono limitati, impedendo all’app di interferire direttamente con altre app.
Google avverte gli utenti del potenziale pericolo e ha anche predisposto delle modifiche a Google Play Protect, sistema che permette di controllare l’eventuale presenza di comportamenti malevoli nelle app e sui dispositivi, eseguendo controlli di sicurezza, segnalando la presenza di app che violano le norme relative al software indesiderato.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.