Tom's Hardware Italia
Sicurezza

Manifestazioni a Hong Kong con trojan per Android e iOS

Le manifestazioni a Hong Kong si realizzano grazie anche a un'app che crea reti P2P senza infrastruttura.

Le manifestazioni a Hong Kong hanno anche risvolti tecnologici. I manifestanti sono infatti riusciti a organizzarsi aggirando controlli e censure grazie a una rete P2P che ha permesso lo scambio di messaggi. Il loro obiettivo è convincere Pechino a rivedere una recente riforma e ad allentare il controllo sul governo dell'ex colonia britannica. E qualcuno ha pensato bene di sfruttare l'occasione per diffondere malware.

Si chiama Firechat l'applicazione che potrebbe rappresentare per Occupy Central quello che Twitter è stato per la Primavera Araba. L'applicazione fu una delle prime a usare il Multipeer Connectivity Framework per rendere possibile la creazione di una rete P2P tra smartphone anche in assenza di Wi-Fi o rete dati.

Nelle ultime ore FireChat ha totalizzato oltre 200.000 download (Android e iOS) e a Hong Kong ci sono stati circa 2 milioni di conversazioni attive e difficili da intercettare. Gli smartphone si collegano tra loro usando il Bluetooth o il Wi-Fi: oltre a ricevere e trasmettere i messaggi, ogni dispositivo diventa anche un nodo della rete che gli altri possono sfruttare. Perfetta in contesti come quello della città asiatica, dove le autorità hanno il controllo delle reti cellulari e sono pronte a usarle per individuare e arrestare i dissidenti.

Ovviamente c'è chi ne abusa, ad esempio per dare falsi allarmi, e nessuno assicura che tra la folla ci siano anche agenti sotto copertura e spioni di altro genere, che possano usare il proprio terminale per sottrarre informazioni. Ma ci sono anche altri pericoli: le manifestazioni hanno attirato infatti anche la sgradita attenzione di alcuni criminali informatici. Giravano messaggi su suggerivano d'installare una certa applicazione nata per supportare i manifestanti di Occupy Central e metterli in condizione di comunicare e coordinarsi. Oltre al gruppo politico, l'applicazione "prende in prestito" anche il nome di un team di sviluppatori, Code4hk, che ha subito preso le distanze.

Si trattava però di un malware che accede a contatti, posizione, cronologia del browser, messaggi di testo e lista delle chiamate. Questi permessi sono richiesti da molte applicazioni Android, e spesso non ci sono ragioni per cui preoccuparsi, ma considerato il contesto il pericolo potrebbe essere piuttosto concreto invece.

Questo trojan è nato per Android ma gli esperti di Lacoon ne hanno individuata anche una versione che colpisce i dispositivi iOS con jailbreak. Usando lo stesso metodo, i criminali invitano le vittime a cliccare su un link e installare la loro app da Cydia. E con essa arriva il trojan che hanno battezzato Xsser mRAT, che è collegato agli stessi server di controllo usati dall'applicazione per Android.

Se riesce a infettare un iPhone, "Xsser mRAT espone virtualmente tutte le informazioni sui dispositivi iOS compresi SMS, email e messaggi istantanei. Può rivelare anche la posizione, nomi utente, password, registro delle chiamate e informazioni sui contatti", si legge sul sito di Lacoon.

Si può quindi parlare di attacco multipiattaforma, e secondo Ohad Bobrov di Lacoon ciò fa sospettare che dietro ci sia un'organizzazione molto grande o uno stato; il contesto poi "suggerisce che questo primo trojan per iOS sia legato all'attività digitale del governo cinese", commenta Bobrov. Ad alimentare questo sospetto c'è anche il fatto che gli attaccanti hanno preso solide contromisure per evitare di essere identificati tramite l'analisi del server di controllo.

Insomma non sono semplici manifestazioni, né comuni scontri di piazza. Ciò che sta accadendo in queste ore è anche un nuovo terreno di prova per le tecnologie come strumenti nelle mani di entrambe le parti. Prove tecniche di Grande Fratello da una parte, e sperimentazioni di ribellione cyberpunk dall'altra – anche se sembra che le forze in campo siano piuttosto squilibrate.