I ricercatori americani di Zimperium zLabs hanno reso noto un nuovo spyware per Android, PhoneSpy, per ora attivo in Corea del Sud, che ha già rubato dati e tracciato l’attività dei suoi obiettivi, a loro insaputa.
Segni particolari: anche PhoneSpy agisce come Pegasus, il noto malware di spionaggio creato dall’azienda israeliana NSO e utilizzato per spiare capi di Stato, giornalisti e attivisti, travestendosi da applicazione web legittima.
Ma per capire se PhoneSpy abbia le potenzialità per diventare un nuovo caso internazionale di cyber spionaggio e sia temibile quanto il capostipite, abbiamo contattato Corrado Giustozzi, esperto di sicurezza cibernetica: “Per ora è un semplice spyware che non sfrutta particolari vulnerabilità e non cerca neanche di nascondersi“, commenta.
Pegasus è massacro dei diritti: ecco perché è urgente regolare i software spia
Indice degli argomenti
PhoneSpy appare come un fenomeno locale
“Attualmente appare un fenomeno locale“, spiega Corrado Giustozzi: “I ricercatori parlano di un migliaio di vittime in Corea del Sud e per ora nessun segnale indica che sia in circolazione altrove. È qualcosa di mirato su/per quella comunità.”.
L’esperto di sicurezza cibernetica conclude che decisamente “Pegasus era un’altra cosa“. Insomma, l’allerta appare ridimensionata.
Come funziona PhoneSpy
I ricercatori americani hanno rilasciato un report sui risultati delle analisi effettuate sui campioni di PhoneSpy. Risultati che confermano la particolarità del nuovo spyware di sorvegliare come Pegasus, la minaccia persistente che rende insicuro qualsiasi smartphone.
Innanzitutto, il nuovo spyware è scritto in codice off-the-shelf per essere utilizzato non solo da gruppi di hacking sofisticati. Inoltre, PhoneSpy è in grado di svolgere moltissime attività malevoli: rubare dati, origliare i messaggi e guardare immagini archiviate nello smartphone, estrarre messaggi SMS, accedere alla fotocamera per scattare foto, registrare video e audio, ottenere una localizzazione GPS precisa della vittima eccetera.
Infine, grazie a PhoneSpy, gli attaccanti possono ottenere pieno controllo da remoto degli smartphone Android in cui ignari obiettivi hanno scaricato l’app malevola.
A destare preoccupazione negli esperti americani di cyber security è proprio la capacità di PhoneSpy di fornire agli attaccanti un accesso completo ai dati archiviati su dispositivi mobili e così conquistare il pieno controllo dello smartphone Android in cui ha fatto breccia.
PhoneSpy scoperto in 23 app malevoli
Per ora PhoneSpy è stato rilevato solo in Corea del Sud, dove ha già trafugato i dati e tracciato l’attività dei suoi obiettivi, a loro completa insaputa, perché, proprio come Pegasus, sa mascherarsi da app legittima. O meglio: da un ventaglio di ben 23 app malevoli per Android che spaziano dalle lezioni di yoga allo streaming di TV e video, fino alle applicazione per l’editing delle foto, come ha spiegato in un post Aazim Yaswant, ricercatore di Zimperium.
Proprio la versatilità delle finte app ha inizialmente disorientato i ricercatori, che non riuscivano a trovare un denominatore comune, un filo rosso che legasse tutte le vittime dello spyware, dal momento che sembravano essere tutte persone prive di una connessione comune. Finché hanno scoperto che le app malevoli con varie finalità, sotto le cui sembianze si mascherava PhoneSpy, erano tutte appartenenti alla stessa malevola famiglia e capaci di girare in maniera silente senza destare sospetti nelle vittime.
Secondo i ricercatori, PhoneSpy mostra un framework familiare, in giro da anni, aggiornato e condiviso in community e canali privati, fino ad essere assemblato in ciò che è diventato e avvistato dai ricercatori di sicurezza.
Pegasus, la minaccia persistente
Come dicevamo, PhoneSpy desta preoccupazione proprio perché opera come Pegasus, il malware di spionaggio creato dal gruppo NSO e usato per spiare capi di Stato, giornalisti e attivisti.
Di fatto, Pegasus è decisamente molto più temibile: è lo spyware che ha reso insicuro ogni smartphone, anche quelli appartenenti a coloro che non vivono sotto regimi autoritari. È infatti possibile inoculare Pegasus sugli smartphone delle vittime senza alcun loro coinvolgimento.
Il gruppo NSO ha realizzato Pegasus come software, il cui valore ammonta a 8 milioni di dollari, per monitorare i traffici di terroristi e criminali su scala globale. Chi ha usato lo spyware, lo ha poi sfruttato per monitorare 180 giornalisti e 30 capi di stato, ma ha coinvolto circa 50 mila numeri di telefono.
Pegasus e, in misura al momento inferiore, PhoneSpy dimostrano quanto potenti ed efficaci siano gli spyware, capaci di nascondere le tracce dei cyber criminali che li hanno creati.
