Il Kaspersky Lab ha scoperto un nuovo potentissimo spyware italiano

I ricercatori informatici di Kaspersky Lab sono inequivocabili: "il software Skygofree per Android è uno dei più potenti spyware che abbiamo mai visto su questa piattaforma." Queste sono le parole che concludono il report pubblicato ieri dall’azienda informatica. E, per l’ennesima volta, tutti gli indizi sembrano puntare su aziende di sorveglianza italiane.

Il nome Skygofree è stato dato dai ricercatori a causa di un dominio registrato con questo nome per diffondere il malware, non c’è alcun collegamento con l’app Sky Go. Il malware è stato individuato a ottobre 2017 — ma secondo successive analisi dei ricercatori, era stato creato almeno 3 anni prima — e ha infettato esclusivamente utenti italiani.

Dalla fine del 2014 le funzionalità dello spyware sono state gradualmente migliorate fino a renderlo uno spyware come non se ne erano mai visti in precedenza: vengono utilizzate diverse vulnerabilità per ottenere i privilegi di amministratore, è possibile sottrarre i messaggi di WhatsApp, far connettere il dispositivo infettato a reti Wi-Fi già prestabilite e controllate dagli ideatori del malware, registrare video e catturare foto dalla camera frontale quando qualcuno sblocca lo smartphone, e persino attivare in remoto il microfono per registrare l’audio quando la vittima si trova in una posizione specifica — capacità definita “geofence”.

Proprio questa funzione sembra sposarsi perfettamente con quanto introdotto dal recente decreto legislativo sui trojan di Stato. La legge, infatti, regola solamente l’uso dei trojan per quanto riguarda le intercettazioni di conversazioni fra presenti mediante l’attivazione del microfono. Tralascia e non vieta espressamente l’impiego del malware per la raccolta di altri dati — come appare evidente nel caso di Skygofree, i trojan possono fare molto altro e se non vi è un divieto chiaro si rischia di finire di nuovo in un limbo.

Secondo il report, il malware è in grado di sottrarre anche dati relativi alle chiamate, agli SMS, alla geolocalizzazione, agli eventi dei calendari, e specifici contenuti di applicazioni, come Facebook Messenger e Viber, oltre a WhatsApp.

Lo spyware è collegato ad alcuni domini fasulli, fra questi vi erano alcuni che simulano pagine di compagnie di telecomunicazioni presenti in Italia, come Tre e Vodafone.

Il malware presenta dei messaggi di benvenuto che ricordano quelli del trojan scoperto da Lukas Stefanko, ricercatore di malware presso l’azienda di sicurezza informatica ESET, segnalato a novembre scorso: dopo l’attivazione manuale, mostra un falso messaggio di aggiornamento mentre inizia l’attività in background.

Il report fa riferimento ad alcuni indizi per quanto riguarda l’attribuzione del malware — senza però nominare direttamente l’azienda. L’azienda in questione è Negg che sul profilo LinkedIn indica come sede principale Reggio Calabria, mentre sul sito internet indica Roma.

Inoltre, pur non facendo esplicito riferimento a sistemi di intercettazione per le forze dell’ordine, nella loro pagina web offrono servizi di analisi forense per “identificare, raccogliere, esaminare e preservare prove e informazioni” da dispositivi informatici.

Da una cache del sito salvata da Google, si può trovare un video caricato su Vimeo chiamato negg-code.

Al momento, però, ancora non è chiaro né lo scopo né il contenuto effettivo di questo video — lo stile però è chiaramente cyber-hollywood. Il codice sembra provenire da alcuni esempi disponibili su GitHub riguardo la packet injection, comunemente utilizzata per attacchi di tipo man-in-the-middle.

Secondo quanto riportato da due fonti anonime in un articolo apparso su Forbes e scritto da Thomas Fox-Brewster, Negg collabora con le procure e “starebbe riempiendo il vuoto lasciato da Hacking Team.” Abbiamo contattato direttamente l’azienda, sia telefonicamente che per mail, per chiedere chiarimenti riguardo queste attività e per avere commenti sul report di Kaspersky: al momento della pubblicazione di questo articolo ancora non abbiamo ricevuto risposte.