Sicurezza

Trojan per Android e iOS: quello legale è un made in Italy

C'è un software prodotto da un'azienda italiana e venduto alle autorità di tutto il mondo, che serve per spiare smartphone e altri dispositivi, eventualmente anche aggirando la protezione crittografica. La società è la milanese Hacking Team (HT), e il prodotto in questione è il Remote Control System (RCS).

Dovrebbe essere una cosa segreta, ma la canadese CitizenLab (Università di Toronto) e Kasperksy hanno individuato e analizzato questo software. La società di sicurezza russa, tra l'altro, se ne era già occupata nell'aprile del 2013. È un software legale, che tuttavia gli analisti trattano come malware; in effetti la differenza è piuttosto sottile. Le due analisi ci danno l'occasione più unica che rara di osservare un software di spionaggio tra i più avanzati in circolazione.

Lo possiamo definire un trojan che si nasconde dentro ad applicazioni apparentemente innocue; esiste in diverse forme a seconda del sistema operativo bersaglio – Android e iOS sono quelli principali. "I trojan per Android e iOS", scrive "GReAT" per Kaspersky, "non erano mai stati identificati prima e rappresentavano una delle ultime lacune (riguardo a RCS, NdR)".

Parliamo comunque di iOS con Jailbreak e file APK installati da fonti non attendibili. Pare però che per almeno un'app, Quatif Today, RCS sia riuscito a farsi strada nel Play Store. Non si tratta comunque di una minaccia "di massa", ma piuttosto di uno strumento per colpire con precisione bersagli specifici, magari aggiungendo un po' di social engineering.

A questo riguardo tuttavia è bene essere dubbiosi, perché in genere le informazioni che emergono non sono che la punta dell'iceberg. GReAT fa notare ad esempio che sarebbe possibile infettare prima un mac con OS X, e poi usarlo per un jailbreak non autorizzato sui dispositivi iOS collegati. A quel punto si potrebbe installare RCS, e prendendo le dovute precauzioni si potrebbe evitare che la vittima se ne accorga. Sembra fantascienza, ma non è un'ipotesi da cestinare con troppa disinvoltura.

Distribuzione dei server C2

Il trojan, che sfrutta anche firme e certificati digitali relative a Java a Sun Microsystems, dopo l'installazione si mette in contatto con il server di controllo (C2), tenta di "uscire dalla sandbox" di Android e di ottenere privilegi di root. Questo è possibile solo con alcuni dispositivi con versioni non aggiornate del sistema operativo, ma è comunque una minaccia.  

"Il Trojan cerca successivamante di accedere a file locali archiviati da diversi social media", spiega poi Dan Goodin su Ars Technica, come Faceook, Viber, WhatsApp, Skype e altri. L'applicazione spia è anche in grado di registrare suoni, video e immagini, oltre che di tracciare ciò che viene digitato con la tastiera a schermo. Può anche prendere degli screenshot del telefono e registrarne la posizione geografica.

Tutte le informazioni raccolte vengono poi trasmesse ai server C2, e gli autori hanno anche pensato alla bolletta: l'applicazione può trasmettere i dati solo quando il Wi-Fi è disponibile, per evitare che la vittima s'insospettisca per un traffico dati eccessivo.

Ancora più interessante è il kit che HackingTeam metterebbe a disposizione dei propri clienti. Questi potrebbero contare su un'incredibile flessibilità nella scelta della piattaforma da colpire e delle informazioni da esfiltrare. Una volta che il sistema è pronto, le informazioni si estraggono in un solo click.

Insomma, gli smartphone (e i PC) infettati con RCS mettono completamente a nudo il proprietario e i suoi contatti. Il che non sarebbe nemmeno un problema visto che si tratta di un software legale indirizzato alle forze di polizia. Se si rispetta la teoria e si spiano solo i cattivi, dopotutto, pochi avrebbero di cui lamentarsi. È tuttavia impossibile sapere se le cose stanno davvero così.

Siamo infatti obbligati a supporre che ci sia buona fede, che tra le persone che hanno legalmente accesso a RCS non ci sia nessuno che potrebbe abusarne in alcun modo. E anche se fosse verificata questa condizione – non lo è – bisognerebbe poi assicurarsi che RCS non finisca nelle mani sbagliate. Se dovesse succedere infatti sarebbe un malware vero e proprio.

E anche questo è un bel problema: come fa notare lo stesso Citizen Lab, linee guida riguardo a questi strumenti sono ambigue o del tutto assenti in gran parte del mondo, ed è molto facile che nasca un mercato clandestino di software come RCS.

Considerato quanto abbiamo scoperto negli ultimi mesi riguardo ad NSA e HGHQ, e ai potenti mezzi di spionaggi messi in campo da queste agenzie, RCS potrebbe in effetti sembrare poco più di un giocattolo. È senz'altro così, ma solo se appunto lo mettiamo a confronto con certi "pezzi da novanta".

Fatte le dovute proporzioni, invece, il prodotto di HackingTeam è allo stesso tempo utile, intelligente e incredibilmente pericoloso – e non sorprende che qualcuno lo tratti apertamente come un malware di cui liberarsi. Tom's Hardware Italia ha contattato HackingTeam per ottenere dichiarazioni riguardo a queste notizie. Aggiorneremo questo articolo non appena la società ci darà una risposta – ma è un'eventualità piuttosto remota. 

Aggiornamento 17.04, 25 giugno 2014: di seguito la dichiarazione ufficiale di HackTeam. 

Hacking Team è al corrente di come Kaspersky e Citizen's Lab si stiano sforzando per attaccare il nostro business, cercando di rivelare informazioni confidenziali sui sistemi e le procedure che usiamo. Questo report non è che il più recente del loro tentativi. È chiaro che gli autori lamentano possibili ripercussioni con governi repressivi, ma Citizen's Lab ha scelto di colpire una società privata che agisce nel pieno rispetto delle leggi sul tema.

Siamo convinti che il nostro software sia essenziale per le forze dell'ordine e per la sicurezza di tutti noi in un'epoca nella quale terroristi, narcotrafficanti, sfruttatori del mercato del sesso e altri criminali usano abitualmente Internet e le comunicazioni mobile per portare a termine i loro crimini. Vendiamo solo a entità governative come le forze di polizia. Non conduciamo indagini digitali, che sono eseguite dalle forze dell'ordine e che, naturalmente, sono del tutto confidenziali.

Il report del 24 giugno non tiene conto delle nostre policy con i clienti, comunque, e vi invitiamo a leggere la descrizione delle precauzioni che prendiamo per evitare abusi del nostro software. Crediamo che la nostra politica sia unica nel nostro settore e un forte sforzo per prevenire usi sbagliati dei nostri prodotti. Abbiamo rifiutato di fare affari con agenzie che secondo noi avrebbero abusato del nostro software, e abbiamo indagato su casi che abbiamo scoperto internamente o portati alla luce dalla stampa. Possiamo prendere l'iniziativa in questi casi e lo abbiamo fatto, ma consideriamo i risultati delle nostre indagini e le contromisure che abbiamo attuato una questione confidenziale tra noi e i nostri clienti.