Attacco agli utenti Android e iOS con la collaborazione di alcuni provider Internet

Google sta seguendo da anni il fenomeno legato alla diffusione degli spyware e in queste ore ha fatto il punto su una scoperta che coinvolge direttamente l’Italia.

I ricercatori del Threat Analysis Group (TAG) Google spiegano che un gruppo di svluppatori italiani ha realizzato un meccanismo che – utilizzando una serie di tattiche – provoca un attacco drive-by download sui dispositivi Android e iOS.
Come in ogni aggressione di tipo drive-by download l’obiettivo è eseguire codice arbitrario senza alcuna interazione da parte degli utenti.

Google lancia una pesante accusa e mette nero su bianco che in alcuni casi l’attacco sarebbe stato posto in essere con la collaborazione attiva di alcuni provider Internet: “in alcuni casi, riteniamo che gli attori abbiano collaborato con l’ISP utilizzato dalla vittima per disabilitare la connettività dati mobile“.

Cosa c’entra la disconnessione della vittima dalla rete Internet? Per porre in essere l’aggressione agli utenti è stato chiesto di installare e avviare app presentate come legittime e sviluppate dai vari operatori di telecomunicazioni. L’utilizzo dell’applicazione avrebbe permesso, con la spiegazione data dai criminali informatici, di verificare lo stato della connessione e di ripristinare il collegamento dopo una disconnessione. I dettagli tecnici sono nel post di Google Project Zero.

“Una volta disabilitata la connessione, i criminali informatici inviavano un link malevolo via SMS chiedendo alla vittima di installare un’applicazione per recuperare la connettività dei dati“, si legge nella nota di Google.

Quando non potevano contare sulla collaborazione dei provider, gli aggressori presentavano le loro app dannose come applicazioni di messaggistica. Tramite una falsa pagina di supporto le potenziali vittime erano indotte a installare le app per recuperare l’accesso ad account Facebook, Instagram o WhatsApp sospesi.

Google ha avvertito le vittime in possesso di un dispositivo Android. Lo spyware in questione è stato battezzato Hermit dai ricercatori di Lookout.
Secondo Lookout, azienda che collabora con Google per migliorare Play Protect, Hermit è “un software di sorveglianza modulare” che “può registrare audio, effettuare e reindirizzare chiamate telefoniche, raccogliere dati come registri delle chiamate, contatti, foto, posizione del dispositivo e messaggi SMS“.

Google snocciola poi tutti gli exploit, ben noti alla comunità che lavora sul jailbreaking di iOS, che sono stati utilizzati per eseguire codice arbitrario sui terminali Apple a insaputa degli utenti. Per quanto riguarda Android, Google ha rilevato la presenza nelle app malevole di un modulo utile a scaricare da server remoti il codice da eseguire.