A fare la scoperta sono stati i ricercatori del Google Project Zero: vittime diversi modelli Samsung.
Il gruppo di ricerca ha scoperto la presenza di tracce di uno spyware commerciale che, stando alle info trapelate, avrebbe sfruttato alcune vulnerabilità di sistema zero day.
Prima di continuare ci teniamo a rassicurare i nostri lettori: sebbene le notizie siano giunte solo ora, le falle in esame erano già state scoperte alla fine del 2020 e chiuse all’inizio dell’anno seguente.
Tali vulnerabilità non interessavano il codice AOSP (Android Open Source Project) ma direttamente il codice personalizzato di Samsung e potevano essere sfruttate per permettere allo spyware di ottenere i privilegi di root e, di conseguenza, modificare il kernel e andare a raccogliere i dati sensibili dell’utente.
Maddie Stone, ricercatrice del gruppo Google Project Zero ha fatto sapere che all’interno del software malevolo sono stati trovati riferimenti ai chip Exynos e ad una particolare versione del kernel: si può quindi presumere che le vittime designate di questo spyware fossero propri i modelli che montano quello specifico modello di chip ( tra questi Galaxy S10, A50 e A51).
Considerando che i chip Exynos sono stati venduti in Europa, Medio-Oriente e Africa si può “circoscrivere” il campo d’azione dello spyware a questo (ampio) settore del mercato Samsung.
Google non ha rilasciato il nome dello sviluppatore ma ha fatto sapere che il sistema di sfruttamento dei bug segue uno schema simile ad altre recenti infezioni dei dispositivi Android in cui le app “infette” sono state sfruttate per spiare utenti su scala nazionale.
Sebbene non siano stati fatti esplicitamente nomi, il pensiero non può non correre ad Hermit, che agiva in maniera molto simile e che colpì molti utenti nella nostra nazione.
Tuttavia sembra che, almeno in questo caso, il vecchio adagio per cui “non tutto il male viene per nuocere” possa parzialmente applicarsi.
Maddie Stone ha infatti affermato che "L'analisi di questa catena di exploit ci ha fornito nuove e importanti informazioni su come gli aggressori prendono di mira i dispositivi Android" sottolineando che ulteriori ricerche potrebbero portare alla luce nuove vulnerabilità nel software personalizzato creato dai produttori di dispositivi Android, come Samsung.