Il team di sicurezza Google ha rimosso una serie di applicazioni che minacciavano seriamente la privacy e la riservatezza delle comunicazioni mobile degli utenti Android. Entrando più in dettaglio nel merito della questione si è scoperto come 20 app regolarmente presenti sul market siano state in grado di avvantaggiarsi i diritti di accesso ai messaggi di testo, alle email, ai dati sulla posizione e ad altre informazioni sensibili prelevate senza alcuna autorizzazione.
Le applicazioni Google incriminate, che si sono portate avanti su centinaia di dispositivi, hanno sfruttato vulnerabilità note ai device rooted su versioni di sistema precedenti all’attuale release aggiornata ad Android Nougat. La presenza di dispositivi con privilegi root ha garantito pieno accesso ai dati sensibili di dozzine di applicazioni, tra cui Gmail, Hangouts, LinkedIn e Messenger.
Le applicazioni sono già state rimosse, sebbene tali app si siano garantiti l’accesso ai dati sensibili e alle conversazioni personali di Whatsapp, Telegram e Viber che, come ormai noto, utilizzano il metodo di crittografia end-to-end a garanzia della riservatezza dei dati in transito attraverso la rete. Nello specifico, le funzioni spia delle app Google hanno consentito di racimolare dati da:
- Chiamate vocali
- Chiamate VOIP
- Dati vocali in registrazione dal microfono del dispositivo
- Posizione GPS
- Screenshot
- Foto con la fotocamera del dispositivo
- Recupero di informazioni sul dispositivo e file
- Informazioni utente (contatti, registri chiamate, SMS, dati specifici per l’applicazione)
Per mascherare la loro natura malevola, le applicazioni sono state concesse con la promessa di soluzioni in grado di effettuare backup e pulizia approfondita del sistema. Google riferisce di app realizzate per conto di una società di cyber criminali chiamata Equus Technologies, che nel contesto si affianca a quanto rilevato per Pegasus in Aprile 2017 ad opera di NSO Group Technologies, anch’essa reduce da un episodio del tutto analogo in cui le applicazioni sono state correlate da sofisticati spyware software indirizzati agli ecosistemi iOS.
Per quanto riguarda Android, invece, Google riferisce di un nuovo potenziale focolaio di minacce basato sul batch processing “Lipizzan” a due stadi. Il primo di questi stadi è la distribuzione attraverso il canale ufficiale dello store Android che riconosce la legittimità del prodotto. Il secondo step, invece, effettua l’upload della licenza e replica il device riportando i dati prelevati dal device su un server controllato e gestito dagli sviluppatori, che così facendo si garantiscono pieno accesso ai dati sensibili in tempo reale.
I ricercatori Google hanno scoperto che, sul piano tecnico, il metodo operativo ricalca quanto visto con Pegasus e le infezioni iOS. Per rilevare e bypassare la minaccia, il team di sviluppo si è servito dello strumento di monitoraggio Google Play Protect, attraverso il quale si è proceduto all’eliminazione del batch e quindi delle minacce.
Siamo veramente al sicuro da occhi indiscreti? Esistono contromisure definitive per arginare il fenomeno dello spionaggio elettronico? Spazio a tutte le vostre personali considerazioni al riguardo.