Spyware: la nuova minaccia per Android e iOS nasce dall'Italia

24 Giugno 2022 87

Un nuovo pericolo spyware sta colpendo i dispositivi Android e iOS in Europa e questa volta sembra che l'Italia sia profondamente coinvolta nell'ondata di attacchi, stando a quanto si apprende dall'ultimo rapporto pubblicato dai ricercatori del TAG (Threat Analysis Group) di Google Project Zero.

Lo spyware in questione trae le sue origini da RCS Labs, un'azienda italiana che si occupa di vendere servizi di sorveglianza per le forze dell'ordine e non solo, che avrebbe realizzato un malware in grado di compromettere lo smartphone delle vittime e fornire accesso completo ai dati presenti all'interno all'attaccante. Stando al documento di Google, gli attacchi sarebbero stati eseguiti ai danni di alcuni utenti italiani e del Kazakistan.

LE MODALITÀ DI ATTACCO

Il rapporto di Google entra anche nel dettaglio delle modalità di attacco utilizzate dal tool di RCS Labs. Tutto comincia con un invito alla vittima a consultare una pagina web contraffatta, nella quale viene indicato che uno dei propri account è stato sospeso e che è necessario eseguire una procedura di ripristino per poter recuperare l'accesso.

Poco sotto potete trovare un'immagine di esempio che mostra come si presenta questa pagina. Nel caso illustrato vengono citati i principali servizi collegati a Meta, ovvero Facebook, Instagram e WhatsApp e il tutto viene presentato in una schermata web che riprende font e colori facilmente associabili a Facebook.


Come si può notare dal testo, viene richiesto che l'utente effettui il download di un'applicazione per procedere al recupero dell'account. Per le vittime su Android il processo è molto più semplice ed efficace, in quanto l'installazione dell'app malevola avviene senza alcun particolare ostacolo, visto che il sistema supporta nativamente la possibilità di installare file APK provenienti da fonti esterne allo store.

Una volta che la procedura è terminata, l'app in questione ha libero accesso a tantissimi aspetti dello smartphone, dal momento che i permessi richiesti includono il monitoraggio dello stato della rete, l'accesso ai contatti, ai dati dell'account della vittima e alla lettura delle eventuali memorie esterne presenti.

Per quanto riguarda iOS la procedura è più complicata, in quanto consiste nel convincere la vittima ad installare un certificato aziendale particolare prima di effettuare il sideloading dell'applicazione in questione. Se la procedura va a buon termine, questa sfrutta sei diverse falle del sistema operativo per accedere alle informazioni presenti sullo smartphone; quattro di queste sfruttano codice creato dalla community legata al jailbreak, in quanto vengono utilizzate per bypassare i processi di verifica per accedere ai permessi di root completi.

Nonostante ciò, l'impatto dello spyware su iOS è nettamente inferiore rispetto a quanto accade su Android, in quanto l'esecuzione delle app avviene in un sandbox che limita fortemente le interazioni con altre applicazioni, quindi non è possibile rubare direttamente le informazioni contenute nelle altre.

IL PERICOLO NON È CESSATO

La pubblicazione di queste informazioni da parte di Google Project Zero è stata accompagnata da un messaggio d'allarme nei confronti del tool di RCS Labs, in quanto gli exploit utilizzati non sono ancora stati completamente corretti e quindi è tuttora possibile eseguire attacchi o caderne vittime.

Google è intervenuta bloccando alcuni progetti Firebase tramite alcune modifiche introdotte su Google Play Protect, mentre non è chiaro se Apple abbia già reso non utilizzabile il certificato che rende possibile l'installazione dell'app. In ogni caso è sempre bene fare attenzione quando viene suggerito di installare applicazioni esterne agli store.

Sicuramente Apple prenderà ad esempio vicende come questa per sostenere la validità della sua posizione contraria all'apertura di iOS e iPadOS alla possibilità di installare applicazioni provenienti da fonti sconosciute - come già ribadito in una sua recente difesa -, dal momento che i suoi sistemi operativi risultano molto più difficili da colpire con attacchi di questo genere.

Lo Smartphone 5G migliore rapporto qualità/prezzo? Redmi Note 9T, in offerta oggi da Amazon Marketplace a 194 euro oppure da Amazon a 239 euro.

87

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
J0k3r_IT

se sei un malvivente o uno che ha la coscienza sporca e hai il minimo sentore che stanno cercando di fregarti (SMS arrivati in precedenza) non ti devi fidare di nessuno e la prudenza non è mai troppa. Si è mai sentito di un operatore che ti scrive che devi cliccare nel link per risolvere un problema di rete? Io MAI. Tu?

Cosa avrei fatto io avendo quel dubbio? Test SIM (forse) bloccata dall'operatore su telefono con altra SIM che funziona. Non funziona? Allora c'è qualcosa di strano. Lo stesso telefono poi funziona con altra SIM? Si funziona, quindi c'è qualcosa di strano.

Che poi se sai che ti vogliono intercettare ti fai anche intercettare ma ti sposti su un altro telefono con la SIM a nome di tua moglie, genitori, fratello etc.. e possibilmente con altro sistema operatore e un modello che sia più difficile da manomettere, tipo uno con GrapheneOS.

Io non mi sarei fatto fregare e non lo dico per pavoneggiarmi. Palamara è stato poco accorto eppure è (era) del mestiere e sa esattamente quali potevano essere i vettori per questa tipologia di attacco.

TechFan

non ci arriverai mai, il cervello non ce la fa, peccato.

TechFan

la falla di sicurezza è il sistema di sicurezza stesso

TechFan

lungi da me dal giustificarlo, però ecco aveva mangiato la foglia ad un primo attacco, a quanto pare se è cascato nel secondo deve essere stato molto convincente ed ufficiale quel convincimento. Immagina di essere un delinquente, se l'operatore della banca che conosci ti chiamasse per dire che c'è un problema etc tu ci credereseti? se dietro ci sono le forze dell'ordine che hanno obbligato il tuo referente bancario a convincerti a fare qualcosa così ti bloccano i conti con i tuoi soldi, non ci crederesti?

ErCipolla
ErCipolla
TechFan

il problema è quando viene installato direttamente, si può avere un software malevolo e puoi gestirlo in diversi modi, puoi "convincere l'utente" chiamasi phishing, oppure accedere al terminale dell'utente in questione e installare direttamente il software malevolo, su android questo si può fare, su iOS l'unica scelta è il phishing.

Diciamo che nelle mani sbagliate può fare tanto invece dipende da come lo inoculi, soprattuto in italia che è la sagra del vecchiume informatico sia desktop che mobile.

TechFan

invece è debole perché i permessi il malware se li prende, non è che se non dai accesso ad una cosa l'app non funziona... altrimenti non ci sarebbero decine di milioni di attacchi malware ogni anno su android, la sicurezza può essere violata, bucata, soppressa, aggirata, e su android è un colabrodo. Punto, non importa se tu gli blocchi tutti i permessi, quei permessi possono essere aggirati su android. Su iOS no, devi essere tu a fare tutto altrimenti niente.

TechFan

per esempio se proprio vuoi, cerca BRATA oppure MaliBOT, o Joker.

Pensi di poter trovare informazioni su malware e come bucare android nel topolino? svegliaaaaaa.

Tu non hai capito una mazza chiodata, il sistema operativo Android fa talmente schifo in fatto di sicurezza che non servono falle o azioni dell'utente ma si può bucare e accedere ad ogni genere di dato tramite i più disparati metodi che non siano il mero phishing, tutto qui, non c'è nulla di strano. NON è un feature messa da Google è solo che chi ha cattive intenzioni con Android ci sguazza, e lo buca come niente e appena accade si può avere accesso ad ogni cosa. Su iOS non è così, bisogna essere sotto jailbreak oppure stupidamente dare il proprio consenso e inserire i propri dati, in pratica su iOS funziona il phishing che non si basa sulla sicurezza oggettiva del software ma sull'errore umano dell'utente.

Te lo ripeto, android può essere bucato con poco, iOS no.

Chi ha cattive intenzioni non ha bisogno del tuo permesso su android perché android non è blindato come iOS, ma fanno tutto loro e tu lo pigli lì.

T. P.

ah si è quello è ben possibile!!! :(

ErCipolla
TechFan

e si e poi ti porto pure uno che ti dice come aprire le casseforti e uno come assaltare le diligenze nel vecchio west... non è che se non ti linko qualcosa del deep web allora non esiste, che ragionamenti del cavolo.

TechFan

nel senso che molti lo attivano subito e anzi fanno prima a beccarsi malware e problemi proprio perché installano apk presi esternamente, più che questo spyware specifico.

T. P.

in teoria, è di default il contrario...

ErCipolla
ma stadi fatto che su iOS senza permessi da parte dell'utente non fai un cavolo

Neanche su Android, evidentemente o hai una pesante ignoranza o stai solo tr0llando. Cioè, non so come funziona nel tuo mondo, ma non è che se ripeti la stessa balla 10 volte diventa vera. Se vuoi continuare la discussione posta un link (me ne basta UNO) con una guida su come ottenere... che ne so... la rubrica, o la posizione, o lo storico chiamate senza dover chiedere il permesso all'utente. Attendo con ansia...

J0k3r_IT

io non sono Palamara, non avrei cliccato sul link de SMS su email ancora meno. Parliamoci chiari se poi sai di essere dentro malefatte uno deve essere 10 volte più furbo e sveglio e dovresti usare terminali appositi.

Da PC neanche si pone il problema, possono agire solo tramite il loro DNS, mostrandoti link malevoli ma se hai un DNS differente o sei dietro vpn non possono fare nulla.

ErCipolla
grazie genio, ma su android è una porta senza serratura solo con la maniglia, al ladro anche senza chiavi basta tirare la maniglia, punto.

Fonte?

Si i permessi li devi dare tu ma sono talmente labili che android è come se non avesse i permessi, l

Fonte? Link a una guida su come superarli, visto che è così facile?

Vedi... è facile muovere la bocca sparando qualsiasi vaccata così per sport... ora però caccia le prove di ciò che dici oppure abbi la decenza di tacere, perché io ho sviluppato su Android per diversi anni e mi risulta che tutto ciò che hai scritto sia una caterva di stronzate...

TechFan

ma perché riduci tutto al "devi chiederli" non è che dici "posso? grazie gentilissimo" sono due tipi di sicurezza e di permessi differenti che funzionano in modo differenze ed hanno livelli di sicurezza differenti, è ovvio che se sei TU a dare l'accesso allora non c'è metodo di sicurezza che tenga, ma stadi fatto che su iOS senza permessi da parte dell'utente non fai un cavolo, dovresti mettere mano direttamente al dispositivo e portartelo in laboratorio. Mentre con android anche se il phishing non funziona può usare metodi più bruschi diciamo e funziona che è una meraviglia.

Se non capisci queste differenze così giganti tra i sistemi di sicurezza software allora non ha senso che tu ne parli. Oppure per te una vecchia serratura della porticina della casa di tua nonna che si apre anche infilandoci un cottonfioc è sicura tanto quanto una porta blindata con vari sistemi di sicurezza per tanti tipi di attacco?

TechFan

le medesime ma non la stessa cosa, se ti arriva una mail e tu sei sicuro che è una mail ufficiale dell'azienda X ci clicchi o la cestini? Mentre se leggi la mail finta della banca scritta malamente e con un indirizzo non ufficiale è ovvio, la cestini per davvero.

TechFan

grazie genio, ma su android è una porta senza serratura solo con la maniglia, al ladro anche senza chiavi basta tirare la maniglia, punto.

Si i permessi li devi dare tu ma sono talmente labili che android è come se non avesse i permessi, la porta è chiusa ma non significa che sia chiusa in modo sicuro. Quindi SU ANDROID NON C'È BISOGNO DI DARE I PERMESSI, chi vuole se li prende con un niente è questa la differenza tra i permessi di android e i permessi di iOS .

Poi ovvio se poi il ladro è alle basi fa phishing classico e via, ma se vuoi installare qualcosa senza che la persona lo venga a sapere, su android è facile, invece su iOS no

ErCipolla

Puoi ottenere quelle informazioni tramite permessi anche su iOS, ma ovviamente (come avviene su Android) devi chiederli. Evidentemente avendo già pronte le funzioni per il jailbreak l'hanno fatto perché così l'utente non si accorge di nulla, su Android probabilmente non avevano l'exploit pronto e hanno dovuto chiedere i permessi. Comunque in questo caso, che ti piaccia o meno fa più "bella figura" Android...

ErCipolla
J0k3r_IT

le modalità di infezione nei casi citati sono le medesime ovvero richiedono l'intervento della vittima che compie un'azione (cliccare nel link che ti installa il trojan) che poi ci sia stata complicità di polizia e Vodafone nel caso di Palamara è altra storia ma non cambia le modalità.

A ogni modo un utente mediamente sveglio ovvero anche informato conoscendo queste modalità, avendone già sentito parlare non cadrebbe nella trappola in questione.

TechFan

si perché era un link ufficiale dell'operatore telefonico, manovra fatta per conto delle forze dell'ordine.

J0k3r_IT

Palamara c'è invece cascato visto che ha cliccato nel link arrivatogli per SMS dove gli si diceva che serviva per correre un "problema". Che poi ha collaborato l'ISP è altra storia. Se per quello hanno fregato anche altri a mezzo DNS degli ISP che suggerivano di installare "patch" per PC.

TechFan

aggirabile anche da remoto e poi tutti hanno attivo l'installazione da fonti sconosciute...

TechFan

Palamara non c'è cascato, hanno forzato le forze dell'ordine tramite l'operatore telefonico.

TechFan

ma non c'è un blocco invalicabile, su iOS si.

TechFan

l'unica falla è il sistema operativo stesso, ti rendi conto? Android è come un'automobile senza serratura, iOS ha le serrature e molto sicure.

Per te cosa è meglio? ovvio che in android non c'è nessuna falla, si può installare da remoto l'apk senza il consenso dell'utente...

TechFan

perché iOS lo devi "jailbreakare" (probabilmente funzionerà meglio sui device più vecchi e non aggiornati) mentre su android basta installarlo direttamente senza consenso dell'utente...

Infatti Apple ha già risolto, Android no e non potrà mai perché c'è un caos tale nella piattaforma Google che sarà sempre un colabrodo e frammentazione di ogni tipo.

Mariux Revolutions
ErCipolla

"lato android" non c'era nessuna falla, è specificato anche in fonte.

ErCipolla

Non può infatti, non leggo da nessuna parte che questo spyware registrasse le chiamate...

virtual

Sì OK ma è scritto che è una app normalissima alla cui sono stati dati i permessi (su Android); come fa allora a registrare le telefonate in modo che si sentano, dato che non c'è un'altra app che lo fa (o io non sono riuscito a trovarla)?

J0k3r_IT

una volta che il trojan ha pieno controllo del telefono invia a un server remoto tutti i dati ovvero il contenuto della memoria può essere disponibile da remoto. Così si sono scaricati messaggi, chiamate, chat, etc... di Palamara e così funziona anche quest'altro che la stessa identica cosa anche nelle modalità. E' una minestra riscaldata.

virtual

C'è chi si informa per conto proprio e chi si fida di quello che dice/scrive Apple.

virtual

Ma come fanno questi a registrare le chiamate via Bluetooth con una semplice app che io con Cube ACR non ci riesco? L'interlocutore praticamente non si sente.

virtual

Senza contare la marea interminabile di permessi richiesti per operare... Qualcuno ha mai fatto installare QuickSupport a una persona "normale"? Quanto sangue dovete sputare prima di vedere lo schermo del loro smartphone?

ErCipolla

Hem... forse faresti meglio a leggere l'articolo prima di commentare... perché in questo caso è proprio su iOS che avviene la privilege escalation e viene bucata la sandbox:

la procedura [...] sfrutta sei diverse falle del sistema operativo per accedere alle informazioni presenti sullo smartphone; quattro di queste sfruttano codice creato dalla community legata al jailbreak, in quanto vengono utilizzate per bypassare i processi di verifica per accedere ai permessi di root completi.

Mentre la versione Android, come ti ho documentato sotto, richiede i permessi in maniera esplicita, quindi niente privilege escalation.

Quindi... di che stai parlando? Se sostieni che sia facile fare privilege escalation e sfuggire alla sandbox su Android ti chiedo cortesemente di postare qualche guida/fonte in merito, perché dire solo "è così" è come pulirsi il cu*o col giornale radio...

oneu

guarda non c'è da spiegare cosa è la sandbox, ma il fatto che non conosci la differenza di sandbox tra ios e android mi fa pensare che stai parlando a caso solo per difendere (che poi cosa ci sarà da difendere mica è una squadra di calcio) android, questo è assurdo. Si sta parlando di quanto la sandbox di android permette alle app di concedere così tanti permessi e la dimostrazione è quello che hai postato

ErCipolla
oneu

eh no, la sandbox certo che richiede il consenso dell'utente, così come il profilo su iOS; ma la sandbox di android è nota per permettere un elevazione di permessi senza uguali su iOS, ecco perché è più facile carpire dati sensibili con qualunque malware su android rispetto ad ios. Entrambi richiedono in questo caso il consenso dell'utente, ma se poi hai una sandbox nota per la poca privacy e sicurezza ecco il risultato

ErCipolla
ErCipolla

No, non so da dove salti fuori la frase sulla sandbox che c'è nell'articolo, ma è una cagata di proporzioni fotoniche. Se vai a leggerti la fonte linkata a fondo articolo, vedrai che l'app in versione android richiede esplicitamente questi permessi:
https://uploads.disquscdn.c...

Quindi no, la sandbox non viene aggirata e non è "debole", semplicemente l'utente sta dando volontariamente il consenso all'accesso a quei dati.
E non si può parlare di falla di sicurezza se sei tu che dai volontariamente le chiavi al ladro, c'è poco da sindacare...

J0k3r_IT

guarda che Palamara aveva un iPhone ed è stato fregato lo stesso cadendo in una trappola identica a questa.

J0k3r_IT

c'è cascato Palamara che secondo Cossiga non era una cima ma ricopriva posizioni di assoluto apice nella magistratura.

Bisogna mettersi in testa che non tutti sono aggiornati o informati su queste tematiche.

J0k3r_IT

anziché questi mezzucci stile Palamara che richiedono l'azione diretta della vittima che oramai avrebbe dovuto imparare che simili modalità sospette indicano il tentativo di infilarti un virus è invece più interessante che non si sente da un pezzo di vulnerabilità zero-day gravissime come quella di Pegasus di qualche anno fa dove bastava una chiamata neanche ricevuta per infettare il terminale...

Andredory

“ Un nuovo pericolo spyware sta colpendo i dispositivi Android e iOS in Europa”
“ che avrebbe realizzato un malware in grado di compromettere lo smartphone delle vittime”

oneu

non è proprio uguale la sandbox di android, visto che le app android possono ottenere nella sandbox molti più permessi. ios invece permessi limitati. Già questo è una differenza piuttosto grande, in più il furto di dati nel caso specifico di questo malware non avviene su iOs quindi è una ulteriore dimostrazione che c'è differenza dovuta alla sandbox. Parlare di privacy/sicurezza con la sandbox di android è inutile

PuckBeastOfTheEnd

L'installazione da sorgenti esterni era da abilitare manualmente da almeno Android 2.x, hanno cambiato che ora bisogna abilitarla per ogni app.

Pixel Buds Pro: con l'ANC gli auricolari Google sono top di gamma | Recensione

Honor Magic 4 Pro vs Nikon Z9: la "folle" sfida con un fotografo professionista

Cosa succede agli smartphone: fine di un ciclo tecnologico? Video

Dentro il quartier generale Motorola a Chicago: tra progetti segreti e futuro | Video