Exodus è nato come uno spyware commissionato alla società di Catanzaro eSurv per permettere intercettazioni sui dispositivi mobili di specifiche persone sottoposte a indagini giudiziarie con controlli che esulavano dalle normali conversazioni, che per legge gli operatori telefonici sono tenuti a far registrare.
Per ottenere dati sui comportamenti di navigazione web, le app installate e utilizzate, le rubriche, i calendari, le foto e i video, i movimenti ricavabili dai localizzatori Gps, e così via, memorizzati sugli smartphone o sui tablet, gli enti autorizzati si trovano a dover ricorrere di volta in volta ad imprese private in possesso di tecnologie specifiche. E in particolare di spyware.
Cos’è uno spyware
Già, ma innanzitutto, che cosa sono gli spyware? Si tratta di una categoria di software molto ampia, in cui ricadono oggetti malevoli e altri che non lo sono, al punto che noi stessi ne autorizziamo l’uso (come per esempio i cookies utilizzati dai gestori di siti web di ottenere informazioni sulle abitudini di navigazione degli utenti sui propri siti al fine di svolgere attività di personalizzazione delle proposte di marketing). In genere si definisce spyware tutto ciò che consente, a un’entità diversa dal proprietario di un dispositivo IT, di ottenere informazioni riservate circa il dispositivo stesso e il suo utente. Nella maggior parte dei casi, al di là dei cookies, gli spyware sono trojan (come Exodus stesso), ovvero malware nascosto all’interno di applicazioni dall’apparenza innocua che l’utente viene indotto a scaricare; malware che, una volta installato, inizia a svolgere i compiti per cui è stato progettato e che nulla ha a che fare con l’applicazione che ha utilizzato come “Cavallo di Troia”.
Come funziona lo spyware Exodus
L’esistenza di Exodus è stata resa nota come app spia Android dall’organizzazione nonprofit Security Without Borders nel marzo 2019. L’annuncio che si trattasse anche di un software spia iPhone è avvenuto il mese successivo a opera di una società specializzata in cybersecurity nel mondo mobile Lockout.
Exodus funziona operando in due fasi successive.
Fase 1
Nella prima, che è stata ribattezzata dagli esperti di Security Without Borders con il nome Exodus One, l’utente veniva indotto a scaricare da Google Play Store sullo smartphone un’app utilizzabile per gestire la richiesta di servizi di assistenza o di proposte commerciali da parte di operatori telefonici (quelli riportati erano disponibili in Italia e in Turkmenistan). Una volta installata questa app la prima componente dello spyware, un dropper, crea una backdoor nel sistema operativo Android, sfruttando una vulnerabilità conosciuta delle vecchie versioni del kernel Linux, su cui l’Os mobile è stato sviluppato. Da questa porta locale, Exodus estrae i dati relativi all’IMEI e il numero telefonico della SIM, necessari per identificare il dispositivo e l’utente.
A questo punto lo spyware si connette via internet con un server di comando e controllo (command-and-control server, in breve chiamati dagli hacker e dagli esperti di cyber security C&C o C2) e trasmette tali informazioni.
Fase 2
Quindi inizia la fase Exodus Two. Sfruttando la connessione internet con il server C2, il software spia per Android scarica dal server stesso altre funzionalità per la sottrazione di specifici tipi di dati e l’escalation del controllo del dispositivo (fino al livello root, cioè ai privilegi di amministrazione, grazie all’exloit DirtyCOW).
I dettagli della variante iOS
Se per riuscire a distribuire le app ingannevoli su Google Play Store, eSurv aveva dovuto ingegnarsi solo per aggirare i filtri previsti dal colosso di Mountain View per l’ammissione delle applicazioni sul proprio store, per diffondere app iPhone spia con Exodus fra gli utenti di Apple è stato escogitato un sistema apparentemente più sofisticato.
Tali app non avrebbero potuto superare verifiche dell’azienda di Cupertino per l’introduzione in App Store. I responsabili di eSurv hanno quindi deciso di ricorrere all’Apple Developer Enterprise program.
Di che cosa si tratta? Di un programma che consente alle aziende di ottenere certificati digitali per applicazioni sviluppate ad hoc per l’ambiente iOS ad esclusivo uso interno. Secondo le indagini svolte, eSurv ha ottenuto questi certificati intestandoli ad un’altra società, Connexxa, di proprietà dello stesso fondatore di eSurv. In questo modo è stato possibile sviluppare altre app (ricordiamo: non caricate su App Store) basate su Exodus. A differenza delle app spia Android, l’iphone spia aveva capacità più limitate, ma comunque pericolose per la privacy del possessore di melafonino e dei suoi contatti.
Come difendersi dallo spyware Exodus
Lo spyware Exodus ha sollevato il livello di attenzione nei confronti della sicurezza dei device mobili, inclusi quelli basati su iOS, che nell’immaginario collettivo sono visti come più invulnerabili di quelli Android.
Dal punto di vista degli utenti, per difendersi dai malware come quello sviluppato da eSurv e inizialmente rivolto solo alla Stato, è importante accrescere prima di tutto la consapevolezza delle migliori pratiche di sicurezza. Fra queste, ovviamente, al primo posto l’installazione di buoni software di sicurezza (i migliori spyware riescono spesso a disabilitare alcune funzionalità dei firewall e degli antivirus); quindi essere più diffidenti verso le app sconosciute, soprattutto quelle che non sono scaricabili da Play Store e App Store.
Un’altra buona prassi è quella di ridurre allo strettamente necessario le app installate sui device al fine di ridurre la cosiddetta “superficie di attacco”; quindi, verificare spesso l’esistenza di versioni aggiornate, installarle e verificare ogni volta quali sono i privilegi assegnati alle app. Dal punto di vista dei responsabili delle sicurezza aziendale, è importante farsi promotori delle best practice, quali quelle citate, e adottare sistemi di Mobile Device Management (MDM) che permettano di implementare policy di sicurezza comuni nell’azienda e centralizzare, anche con l’aiuto dell’automazione, il controllo della loro compliance.
