Hacker natalizio Fonte foto: Shutterstock
SICUREZZA INFORMATICA

20 app infette da Exodus vi spiano: quali sono e come cancellarle

Una ricerca di una ONG specializzata in difesa della privacy toglie i veli da un malware tutto italiano pensato per spiare e intercettare gli utenti Android

1 Aprile 2019 - C’è un virus per Android made in Italy che gira su Play Store: si chiama Exodus ed è contenuto in una ventina di app infette, che sono state già scaricate e usate da un migliaio di persone. Sarebbe stato prodotto dalla società eSurf di Catanzaro, specializzata in sistemi di vigilanza e sorveglianza e che in passato ha avuto contratti con le Forze dell’Ordine italiane. Cosa che fa pensare che Exodus sarebbe stato commissionato da un Ente Governativo italiano per eseguire intercettazioni informatiche.

È quanto emerge da un rapporto della Ong Security Without Borders, specializzata in attacchi informatici e in tutela della privacy degli attivisti per i diritti umani, politici e sociali, che ha lavorato in collaborazione con la rivista Motherboard.

Che cosa fa Exodus, il malware che intercetta gli italiani

Dall’approfondito report della Ong emerge che il malware Exodus ha come fine principale quello di raccogliere informazioni sull’utente dello smartphone infetto. Il codice malevolo, infatti, può rastrellare un po’ di tutto: lista di applicazioni installate, audio ambientale registrato col microfono del telefono, cronologia di navigazione e segnalibri da Chrome e SBrowser (il browser dei telefoni Samsung), eventi del calendario, registro delle chiamate, registrare le chiamate telefoniche, scattare foto con la fotocamera, informazioni sulle celle telefoniche, estrarre la rubrica, l’elenco dei contatti di Facebook, i log dalle conversazioni di Messenger, fare screenshot di qualsiasi applicazione in primo piano, estrarre informazioni sulle immagini dalla Galleria, estrarre informazioni da Gmail, i contatti e messaggi dall’app Skype, recuperare tutti i messaggi SMS e i messaggi e la chiave di crittografia da Telegram, i dati di Viber Messenger e i log da WhatsApp, ma anche recuperare i file scambiati con WhatsApp, la password della rete Wi-Fi a cui si è connessi, i dati di WeChat e persino le coordinate GPS del telefono.

Quali sono le app infette da Exodus

Il malware Exodus è stato inoculato in almeno una ventina di app, tutte italiane e in lingua italiana, regolarmente caricate sul Play Store, i cui filtri non hanno rilevato alcuna minaccia per l’utente. Da una prima ricognizione effettuata da Bufale.net queste dieci applicazioni sono sicuramente infette: Assistenza Linea, Offerte Speciali, Offerte Telefoniche personalizzate, Servizi Telefonici Premium, Offerte per Te, Assistenza Linea Riattiva, Operatore Italia, Promo Offerte, Assistenza SIM e Offerte Telefoniche per te. Il virus gira almeno dal 2016, quindi è possibile che ci siano altre applicazioni infette che ancora devono essere scoperte. Google avrebbe già tolto dal suo Store tutte le app infette.

Come funziona il virus Exodus

L’infezione da Exodus inizia scaricando e installando una delle app infette. Il virus ha due stage, denominati “Exodus 1” ed “Exodus 2“, il primo ha il compito di leggere il codice IMEI del cellulare e comunicarlo al server di Command & Control. Questo comportamento lascerebbe pensare che si tratti di un malware programmato per spiare un preciso numero di utenti, scenario compatibile con una intercettazione di Polizia.

Ma in realtà Security Without Borders ha scoperto che anche se l’IMEI inviato è quello di un cellulare nuovo usa e getta, attivato solo per scopi di test, Exodus si attiva lo stesso scaricando il secondo pacchetto Exodus 2 che contiene il virus vero e proprio che inizia a tracciare il nostro comportamento. Tra i gravi rischi che Exodus comporta c’è anche il fatto che, volutamente o per errata programmazione, esso lascia diverse porte aperte e rende vulnerabile lo smartphone a chiunque sia connesso alla stessa rete Wi-Fi e (forse) persino alla stessa cella dell’operatore di telefonia mobile.

Perché Exodus colpisce anche i normali utenti?

In queste ore si è aperto un acceso dibattito in merito a questo virus: se è vero, come tutti i segnali lascerebbero pensare, che si tratta di un virus creato ad arte per eseguire approfondite intercettazioni ambientali come mai tale virus è stato inoculato in app scaricabili liberamente da tutti dallo store ufficiale di Google? L’ipotesi più diffusa è anche la meno rassicurante: è stato messo su Play Store affinché lo si potesse testare prima di utilizzarlo in indagini ufficiali. Nelle scorse ore è arrivato il commento su questa vicenda da parte del Garante della privacy Antonello Soro: “La notizia dell’avvenuta intercettazione di centinaia di cittadini del tutto estranei ad indagini giudiziarie, per un mero errore nel funzionamento di un captatore informatico utilizzato a fini investigativi, desta grande preoccupazione e sarà oggetto dei dovuti approfondimenti, anche da parte del Garante, per le proprie competenze. La vicenda presenta contorni ancora assai incerti ed è indispensabile chiarirne l’esatta dinamica“.

Come difendersi dal virus Exodus

Se in passato hai scaricato una delle app infette allora è quasi sicuro che il tuo smartphone è infetto e che Exodus sta raccogliendo una enorme quantità di dati su di te. Per rimuovere il virus è necessario usare un buon antivirus aggiornato all’ultima versione. Il problema. però, è che l’esistenza di questo malware è stata resa nota ancora da poco e quindi non è detto che i più diffusi antivirus siano in grado di rilevare Exodus.