Centinaia di italiani infettati da uno spyware – software che raccoglie informazioni – sviluppato da un’azienda italiana per conto del governo italiano (precedente), distribuito sui dispositivi Android e capace di bypassare i filtri di sicurezza Google.

Anche se con diverse variazioni, tutte le copie identificate di questo spyware condividono un camuffamento simile. Nella maggior parte dei casi sono stati creati per apparire come applicazioni distribuite da generici operatori mobili in Italia. Spesso la descrizione dell’applicazione sul Play Store fa riferimento a messaggi SMS che i target avrebbero ricevuto e che li avrebbero condotti ad una pagina sul Play Store. Tutte le pagine sul Play Store che abbiamo identificato e tutte le interfacce grafiche usate per camuffare le applicazioni stesse sono scritte in Italiano.

Si chiama Exodus, è stato identificato da un gruppo di ricercatori: si tratta di “malware governativo” nato per spiare reti di spacciatori e, pare erroneamente, finito anche in dispositivi di normali cittadini.

“Riteniamo – dicono i ricercatori – che sia stato sviluppato dalla società eSurv, di Catanzaro, dal 2016”.

Il software spia agiva in due step. Exodus One raccoglieva informazioni base di identificazione del dispositivo infetto (in particolare il codice Imiei che consente di identificare in maniera unica uno telefono ed il numero del cellulare). Una volta individuate queste informazioni si passava alla fase Exodus Two, veniva installato un file che raccoglieva dati e informazioni sensibili dell’utente infettato come la cronologia dei browser, le informazioni del calendario, la geolocalizzazione, i log di Facebook Messenger, le chat di WhatsApp. Secondo gli esperti, il software spia è stato utilizzato tra il 2016 all’inizio del 2019, copie dello spyware sono state trovate caricate sul Google Play Store, camuffate da applicazioni di servizio di operatori telefonici. Sia le pagine di Google Play Store che le finte interfacce di queste applicazioni malevole sono in italiano. Secondo le statistiche pubblicamente disponibili, in aggiunta ad una conferma di Google, la maggior parte di queste applicazioni hanno raccolto qualche decina di installazioni ciascuna, con un caso che superava le 350 unità. Tutte le vittime si trovano in Italia.

“Non e’ che puoi fare una roba indiscriminata,” ha detto un agente di polizia esperto di intercettazioni. “mettere [sul Play Store] una cosa pensando di infettare un numero indeterminato di persone, e fare la la pesca a strascico è una cosa assolutamente illegale.”

La fonte vicina a eSurv ha confermato che, a volte, le app sono finite sui dispositivi sbagliati, “Gente ignara,” ha detto la fonte, “scaricava inconsapevolmente l’app. E si infettavano.”