EXODUS: lo spyware made in Italy

A cura di Jury D’alessio.

“La pubblicità paga”, probabilmente mai frase fu più azzeccata per parlare proprio di Spyware. E ogni tanto ritornano! Infatti, il 29 marzo scorso, i ricercatori di Security Without Borders hanno pubblicato uno studio che analizza uno spyware distribuito in circa 25 varianti sulla piattaforma mobile di Google.

Secondo i ricercatori le prime varianti del software risalgono al 2016 e sono state distribuite sottoforma di finti tools per smartphone Android.

Pagina playstore utilizzata per distribuite lo spyware. Credits: Security Without Borders

Modus operandi

I ricercatori hanno diviso il funzionamento del software in due parti chiamate EXODUS ONE e EXODUS TWO. La prima è la parte di istruzioni che si occupava di acquisire le informazioni sul dispositivo della vittima e di spedirle attraverso una richiesta http ad un server che ritornava un file .zip.

La seconda parte invece si occupava, una volta scaricato il file .zip, di eseguire il codice per mantenere segreta la presenza del software, utilizzando specifiche istruzioni che sfruttavano specifiche falle in dispositivi che permettevano di nascondere il sofware dalle schermate di visualizzazione delle applicazioni e da quella dell’utilizzo della batteria.

Chi sono i creatori?

La presenza della lingua Italiana e della parola “mundizza” (immondizia in dialetto calabrese)lasciano pochi dubbi sul fatto che i creatori del malware siano italiani e la posizione degli hosting non fa che rendere ancora più chiara questa posizione.

Hosting dei server utilizzati dalla compagnia eSurv. Credits:Security Without Borders

A quanto pare lo spyware è legato ad una azienda di video sorveglianza e software intelligente chiamata eSurv che ha server in tutta Italia in città come Milano, Napoli, Bologna, Brescia e molte altre.

Questa notizia è anche confermata dal CV di un dipendente dell’azienda che conferma la creazione di un Android Agent che utilizza falle in dispositivi Android (si fa menzione specifica di alcuni 0-day in dispositivi Huawei) per acquisire informazioni.

Parte del CV di un dipendente eSurv. Credits: Security Without Borders

Come proteggersi in futuro da questo tipo di minacce

Questo tipo di software sfruttano branche del social engineering per far si che il maggior numero di utenti la installino sul proprio dispositivo, questo software in particolare si spacciava per utility di SIM o di applicazioni trova offerte.

Difendersi da questo tipo di minacce diventa quindi molto semplice e non richiede l’uso di specifici software antivirus poiché basta controllare il numero di istallazioni, recensioni e il nome della compagnia produttrice prima di installare del software che non si conosce sul proprio dispositivo.