Google ha rivelato che alcuni utenti Android e iOS in Italia sono stati indotti a installare un’applicazione spyware che avrebbe poi rubato informazioni personali dal dispositivo.
Un report pubblicato da Google poche ore fa offre risultati dettagliati delle sue indagini sui fornitori di spyware come parte della campagna Project Zero.
L’azienda ha nominato la società italiana RCS Labs come probabile responsabile degli attacchi. Google sostiene che RCS Labs ha utilizzato “una combinazione di tattiche” per colpire gli utenti in Italia e Kazakistan con quello che è considerato un attacco drive-by download.
Una volta effettuato l’attacco, l’ignaro utente si ritrova un messaggio che lo avvisa di aver perso l’accesso al proprio account o ai propri servizi e che dovrà accedere a uno specifico link per ripristinarli. Quel link di installazione è mascherato da provider di servizi internet o da notifiche di note applicazioni di messaggistica.
Una volta che la vittima apre il sito collegato, gli vengono mostrati loghi ufficiali di aziende note e richieste molto realistiche per il ripristino dell’account, con il link per scaricare l’applicazione dannosa nascosto dietro pulsanti e icone dall’aspetto innocuo. Ad esempio, una delle tante varianti dell’app utilizzata in questo attacco aveva un logo Samsung come icona e indicava un falso sito web dell’azienda sudcoreana.
La versione Android dell’attacco utilizza un file .apk. Poiché le app Android possono essere installate liberamente all’esterno del Google Play Store, non c’era bisogno che gli hacker convincessero le vittime a installare un certificato speciale.
Per quanto riguarda le vittime su iOS, dovevano invece essere convinte a installare un certificato aziendale. Se l’utente accettava ed eseguiva l’intero processo, il certificato permetteva all’app dannosa di eludere le protezioni dell’App Store.
La versione iOS dell’app spyware ha utilizzato sei diversi exploit di sistema per estrarre informazioni dal dispositivo, con l’app suddivisa in più parti, ognuna delle quali utilizzava un exploit specifico. Quattro di questi exploit sono stati scovati dalla comunità Jailbreak per bypassare il livello di verifica e sbloccare l’accesso root completo al sistema.
A causa del sandboxing di iOS, la quantità di dati estratti era comunque limitata. Ad esempio, gli hacker potevano accedere al database locale dell’app WhatsApp, ma il sandboxing ha impedito agli hacker di rubare informazioni da altre app.
Apple ha già invalidato il certificato in oggetto, ma il consiglio è sempre lo stesso: evitate di installare certificati aziendali che non vengono condivisi direttamente da aziende o sviluppatori fidati. Se avete dubbi, potete contattare l’azienda del presunto certificato per avere un’ulteriore conferma che si non si tratti di spyware o malware.