Hanno hackerato il tuo iPhone?

Ultimamente circolava una voce su di un malware per iPhone in grado di spiare i suoi proprietari. Beh, pare che la voce sia diventata realtà: i ricercatori di Kaspersky Lab hanno scoperto un campione real-life di questo Trojan.

È un dato di fatto: più del 98% dei malware per smartphone colpisce Android. Questo è dovuto al fatto che con l’iPhone le app per iOS si possono scaricare solo dall’app store convenzionato. Bisogna dire che Apple ha sempre svolto un buon lavoro di prevenzione nella lotta contro i software dannosi che cercavano di accedere al suo store. Tuttavia, questo dato è rilevante solo per i malware di massa, il cui obiettivo è infettare qualsiasi utente, senza un preciso target. La storia è completamente diversa quando qualcuno decide di spiare proprio voi. A differenza di quello che si possa pensare, non è necessario essere un criminale, un importante uomo d’affari o un attivista politico per entrare nel mirino. Forse, senza saperlo, appartenete per qualche ragione ad una categoria “sospetta” o “di interesse” per queste persone… ma questo lo vedremo tra poco. In questo caso, un’agenzia di spionaggio potrebbe infettare anche il vostro iPhone.

iphone.min

In certi paesi, diverse agenzie o enti governative sono in grado di entrare in un computer o smartphone sospetto per monitorare l’attività o cercare prove. Per farlo, questi enti usano quelli che vengono chiamati “spyware legali”, sviluppati e venduti da molte aziende in tutto il mondo. Una di queste aziende è la società italiana HackingTeam, focalizzata sull’offerta di “soluzioni offensive” per le indagini informatiche, creatrice di un nuovo sistema di controllo remoto RCS (Remote Control System) chiamato Galileo. Per un certo periodo, Kaspersky Lab ha monitorato l’infrastruttura RCS e ha individuato “impianti” malware per Windows di tipo RCS. Sono state trovate tracce di file dannosi che indicavano l’esistenza di “impianti” per smartphone, tuttavia non si è avuta la possibilità di ottenerli in the wild. Durante una recente ricerca realizzata da Kaspersky Lab in collaborazione con Morgan Marquis-Boire di Citizen Lab, sono state scoperte nuove varianti del malware. Questi nuovi campioni sono di fatto dei Trojan per smartphone che funzionano sia su Android, sia su iOS.

Malware per iOS

Il punto forte della ricerca sul sistema RCS è il metodo usato per infettare gli iPhone. In primo luogo, il computer della vittima viene infettato da un malware Windows o Mac OS. I vettori dell’infezione variano continuamente e possono includere trucchi di ingegneria sociale, exploit e spear phishing. Il malware si piazza silenziosamente all’interno del computer e realizza attività di spionaggio tipiche (come quelle via keylogger), aspettando che la vittima colleghi il suo smartphone al computer per realizzare una sincronizzazione iTunes. Se lo “spyware operator” approva l’infezione, il Trojan cerca silenziosamente di realizzare un jailbreak dell’iPhone, seguito dall’installazione di un componente di spionaggio mobile. A questo punto, l’iPhone si riavvia (di fatto, l’unico segno che ci fa capire che sta succedendo qualcosa di strano). I malware sono intelligenti e usano diversi trucchi per riuscire a spiare la propria vittima in una forma silenziosa, per esempio, lavorando solo quando ci si avvicina a una rete Wi-Fi specificata dall’hacker o quando si collega il telefono a un caricatore. La batteria non si scarica molto, evitando che la vittima si insospettisca.

Il Trojan iOS è intelligente; spia le sue vittime discretamente e, per esempio, non consuma molta batteria.

I Trojan mobile RCS sono capaci di realizzare diverse azioni di spionaggio, tra cui scattare foto, spiare gli SMS, i messaggi WhatsApp o di altre app simili, rubare contatti e così via…

Naturalmente ci sono alcune limitazioni che incidono sul fatto che un criminale possa o non possa hackerare un iPhone specifico. In primo luogo, si ha bisogno di versioni iOS che potrebbero essere soggette al jailbreak. Per esempio, non si può eseguire il jailbreak sulle versioni più recenti, ma le precendeti sono vulnerabili. In secondo luogo, un iPhone dovrebbe essere sempre sbloccato con una password durante il jailbreak. Comunque, entrambi i casi non sono rari e non c’è dubbio che gli “spyware operator” abbiano accumulato molti “trofei iOS”.

Vittime

La lista delle vittime indicata nella ricerca condotta da Kaspersky Lab insieme a Citizen Lab, include attivisti e difensori dei diritti civili, così come giornalisti e politici. Tuttavia, la natura dell’interesse di certe vittime è ambigua. Un esempio, tra queste vittime c’è anche un’insegnante di storia delle superiori nel Regno Unito.

Kaspersky Lab, Sergey Golovanov

La maggioranza dei server RCS scoperti avevano la propria base negli Stati Uniti, Kazakistan, Ecuador, Regno Unito e Canada. Sergey Golovanov, Principal Security Researcher presso Kaspersky Lab, ha affermato: “La presenza di questi server in un dato paese non comporta necessariamente che questi vengano usati dalle forze dell’ordine di quel determinato paese. Tuttavia, non sarebbe una cattiva idea evitare di utilizzare i server che si trovano nelle zone da loro controllate (esistono rischi di tipo legale a livello transnazionale, o di attacco/sequestro del server)”.

Protezione

Per evitare rischi ed infezioni, gli esperti di Kaspersky Lab raccomandano agli utenti di non realizzare il jailbreak del proprio iPhone e, in secondo luogo, di aggiornare costantemente l’iOS del dispositivo con l’ultima versione. Infine, ricordate che installare un software antivirus robusto riduce il rischio di contrarre virus e infezioni.

 

Consigli