Non è bastato il famigerato e controverso Pegasus dell’israeliano NSO Group (operativo anche contro attivisti ONG per conto di governi del medio oriente), ora un’altra e apparentemente più pericolosa minaccia si sta affacciando nel mondo mobile: è PhoneSpy.

La minaccia è già operativa; è stata vista infatti agire contro migliaia di utenti nella penisola sudcoreana. Per i ricercatori (Zlabs di Zimperium) non è chiaro quale sia l’agente di minaccia coinvolto nella campagna, così come non è chiaro il motivo di una simile concentrazione in un unico luogo, né quale possa essere la relazione tra le vittime coinvolte (se ve ne sia).

Certo è che non sono state trovate tracce di PhoneSpy in alcun app store Android (Google o terze parti): questo può solo significare che gli aggressori utilizzano metodi di distribuzione basati sul reindirizzamento del traffico web o sull'ingegneria sociale. La cosa può sembrare quindi meno allarmante (al momento) su base planetaria, ma non conoscendo le strategie degli agenti di minaccia non c’è da stare tranquilli su chi sia la prossima vittima. Oltretutto non è chiaro neanche se il malware (come software) venga venduto commercialmente nel Dark Web.

Probabilmente, visto le similitudini con Pegasus, anche le finalità di questo spyware potrebbero essere simili: ma il tutto è ancora molto incerto.

La campagna, che è attualmente in corso, è fortemente mirata verso l’utenza sudcoreana; la prima mossa di questa campagna è infatti un classico del phising: la simulazione della procedura di autenticazione di un qualche servizio molto popolare. Dopo la sua installazione infatti, PhoneSpy (come tutte le applicazioni Android) richiede i permessi per le capacità richieste, ma subito dopo presenta una finta pagina di autenticazione al sistema di messaggistica sudcoreano “Kakao Talk”. Questo evidentemente lega la campagna alla penisola sudcoreana, o comunque alla sua cittadinanza, come obiettivo unico, ma denota un forte studio dell’obiettivo e quindi le capacità degli agenti di minaccia che sono dietro.

Il passo di per sé è già in generale molto pericoloso. Questo per la possibilità che dà agli agenti di minaccia di sfruttare le credenziali, così ottenute, trasversalmente su diversi altri servizi pubblici, a patto che questi utilizzino meccaniche di SSO (Single-Sign-On: un unico accesso per tutti i servizi).

La pericolosità di PhoneSpy però non si ferma qui; la sua innata capacità mimetica lo rende “appetibile” all’utenza finale vestendo i panni di normali applicazioni “lifestyle”. Queste sono applicazioni che forniscono un supporto quotidiano, dalle lezioni di lingua, a quelle di una qualche disciplina (es. yoga), dalla fruizione di video o musica fino alla organizzazione dei propri documenti (es. le proprie foto). L’utente utilizzerà quindi PhoneSpy senza alcun sospetto, mentre il malware agirà in modo occulto durante la fruizione della sua componente “apparente”. E di queste applicazioni ne sono state identificate ben 23, tutte “contaminate” da PhoneSpy e quindi risultanti pericolose.

Quello che in realtà è capace di fare PhoneSpy è dunque ben altro rispetto all’apparente: si va da furto di dati (compresa registrazione o streaming live di video o audio o la posizione GPS) all'intercettazione dei messaggi SMS (sottraendo così anche eventuali messaggi per autenticazione a due fattori) o al loro invio, dalla modifica delle informazioni in rubrica all’inoltro di chiamata, dalla sottrazione delle immagini memorizzate sul telefono fino al controllo completo dei dispositivi Android. 

In questo controllo completo del dispositivo, PhoneSpy ha la possibilità di installare o disinstallare qualsiasi altra app sul dispositivo, ivi comprese quelle di sicurezza (antivirus), e ponendo il dispositivo in contatto con un server di comando e controllo (lasciandolo di fatto aperto all'accesso degli attori delle minacce) così rendendo il malware non solo uno spyware ma anche un Remote Access Trojan (RAT).

C’è un altro aspetto che rende pericoloso questo strumento: PhoneSpy è scritto con un codice standard, che non dimostra capacità “superiori” dei suoi sviluppatori. Questo significa un vantaggio tattico per gli agenti di minaccia, capaci così di occultare più efficacemente la loro “firma” tecnica o le loro “tracce” nell’azione di attacco intrapresa mediante PhoneSpy. Chiunque potrebbe essere l’autore di quel codice: non è caratterizzato da alcuno “stile” o “metodo” attribuibile ad agenti di minaccia noti. Un bel guaio per gli analisti.

Non dimentichiamo però l’essenza di base del malware, che è l’essere uno spyware: le molteplici azioni che è capace di intraprendere sono un’arma micidiale nella costruzione di un profilo, un “identikit” della vittima: dati personali, posizione GPS, audio e video live: quanto altro serve per dire che c’è abbondanza di materiale per identificare la vittima? Il pericolo che diventi un’arma specifica per colpire (come è stato per Pegasus) avversari politici, etnici o religiosi è fortissimo.

Tweet