Nelle prime righe di codice comparivano le parole “Mundizza”, che in calabrese significa immondizia, e “Rino Gattuso”, che della Calabria è il testimonial più autentico. Due indizi, o forse semplicemente un modo per rivendicare la paternità di un software importante, scritto nelle stanze di un palazzo che si affaccia sul mare di Catanzaro Lido. Il software in questione, della specie spyware, prende il nome di Exodus. A produrlo, per conto dello Stato italiano, sarebbe stata l’azienda calabrese eSurv. Exodus ed eSurb: un binomio che nelle ultime ore è finito nell’occhio del ciclone perché avrebbe spiato, probabilmente per errore, un migliaio di italiani inconsapevoli.

A riportare questa storia è uno studio dalla società no profit Security Without Borders, che ha pubblicato il tutto in un’inchiesta scritta sulla rivista Motherboard. Dalle prime informazioni si apprende che lo spyware avrebbe colpito più di un migliaio di smartphone Android. E la propagazione – incredibile ma vero – è avvenuta attraverso delle normali app scaricate su Play Store, il canale ufficiale di Google.

I ricercatori di Security Without Borders hanno avvisato Google del fatto qualche a inizio anno, e le app in questione (in tutto una decina) sono state poi rimosse. Da Mountain View hanno fatto sapere che le app contenenti Exodus erano circa 25, tutte apparentemente normali, di quelle usate spesso per migliorare le performance del telefono. Per mesi, sin dal 2016, hanno girato sugli smartphone di oltre mille italiani, spiandone ogni mossa.

Exodus è un virus di tipo spyware. Un software malevolo che serve di prendere il controllo – a distanza – di un dispositivo. Chi sta dall’altra parte dello schermo, ovvero chi gestisce lo spyware, è in grado di visionare tutto ciò che l’utente fa sul proprio smartphone. Dalle telefonate agli sms, dall’utilizzo delle app alla cronologia di navigazione sul browser, dalle foto scattate agli spostamenti, fino al controllo delle app più sicure. È molto probabile, dunque, che i gestori di Exodus fossero in grado di controllare le chat di WhatsApp e Telegram, app notoriamente sicure perché crittografate con la tecnologia end to end, ma inermi davanti a un software che di fatto controlla il 100% di quello che succede su un device. Ma c'è di più: intercettando la password WiFi domestica, o di un ufficio, lo spyware riusciva a estendere il suo raggio d’azione.

Exodus, secondo gli esperti di Security Without Borders, è stato programmato per agire in due fasi. Nella prima fase, lo spyware si installa e controlla solo il numero di telefono e il suo IMEI, il numero identificativo univoco del dispositivo, presumibilmente per verificare che il telefono (o meglio, il suo possessore) fosse fra gli obiettivi. A tale scopo, il malware ha una funzione chiamata “CheckValidTarget”. In questo caso, giova ricordarlo, esistono usi legalmente consentiti di spyware strettamente mirati, ad esempio dietro un ordine del tribunale. Solo nella seconda fase, poi, il virus inizia a prendere il controllo dello smartphone.

“Google non è una compagnia di sicurezza, ma forse dovrebbero concentrarsi maggiormente su questo”

Lukas Stefanko, ricercatore ESET 

Lukas Stefanko, ricercatore che lavora in ESET, società di cybersciurezza che presta grande attenzione ai malware per Android, ha dichiarato a Motherboard che è allarmante, ma non sorprendente, che il malware continui a farsi strada oltre i filtri di Google Play Store. «Sia nel 2018 che nel 2019, i malware hanno penetrato con con successo i meccanismi di sicurezza di Google Play. Alcuni miglioramenti sono necessari. Google non è una compagnia di sicurezza, ma forse dovrebbero concentrarsi maggiormente su questo».

La storia di Exodus e della sua azienda madre eSurv è un po’ bizzarra. Perché – da quanto si apprende – la società avrebbe prodotto il software per conto della Polizia di Stato. In un documento pubblicato online, infatti, emerge che l’azienda catanzarese avrebbe ottenuto un compenso pari a 307.439,90 il 6 novembre 2017, proprio dal corpo di Polizia. Ciò che non torna, è come queste app contenenti Exodus siano finite nel Play Store. Solo un errore clamoroso?

© Riproduzione riservata