-->
Pegasus: l’ultimo spyware
per iOS e Android
Kaspersky Dailiy, 11 Apr 2017
Gli utenti di iPhone e iPad Apple credono in genere di essere
protetti.
Non esiste un malware per iOS, dicono. Apple fa davvero poco per
scoraggiare questa idea (l’ “azienda della mela” non permette nemmeno l’accesso
alle soluzioni antivirus nel suo AppStore, perché apparentemente non ce n’è
bisogno).
La
parola chiave, in questo caso, è apparentemente. In
realtà esiste un malware che prende di mira gli utenti iOS (è stato provato
molte volte) e ad agosto 2016 i ricercatori l’hanno provato ancora una volta, rivelando
l’esistenza di Pegasus, uno spyware in grado di hackerare qualsiasi iPad
o iPhone, raccogliendo dati sulle vittime e controllandole). Questa scoperta ha
turbato l’intero mondo della cybersicurezza.
Al nostro Security Analyst Summit, I
ricercatori di Lookout hanno rivelato che
Pegasus esiste non solo per iOS ma anche per Android. La versione per Android è
in un certo senso diversa dal suo predecessore per iOS. Chiariamo un po’ che
cos’è Pegasus e perché utilizziamo la parola “ultimo” per descriverlo.
Pegasus: l’inizio
Pegasus è stato
scoperto grazie a Ahmed Mansoor,
un attivista per i diritti umani degli Emirati Arabi che è diventato una delle
sue vittime. Si trattava di un attacco di spear-phishing. Mansoor aveva
ricevuto diversi SMS che contenevano quello che lui pensava fossero link
pericolosi, per questo ha inviato i messaggi agli esperti di sicurezza del
Citizen Lab che hanno coinvolto nelle indagini anche un’altra azienda di
cybersicurezza, Lookout.
Mansoor non si sbagliava. Se avesse cliccato su uno di quei
link, il suo iPhone sarebbe stato infettato da un malware (un malware per iOS,
per gli iOS senza jailbreak, per l’esattezza). Il malware è stato chiamato
Pegasus e per i ricercatori di Lookout si tratta dell’attacco più sofisticato
mai visto in qualsiasi terminale.
Pegasus è stato attribuito all’NSO Group, un’azienda israeliana
che si guadagna il pane quotidiano sviluppando spyware. Questo vuol dire che il
malware è commerciale (viene venduto a chiunque abbia soldi per comprarlo).
Pegasus si basa su tre enormi vulnerabilità zero day (prima sconosciute)
nell’iOS che gli consentono di effettuare il jailbreak del dispositivo e di
installare un software di sorveglianza. Un’altra azienda di cybersicurezza,
Zerodium, una volta ha offerto un milione di dollari per un zero-day per iOS,
quindi potete immaginarvi quanto sia costato creare Pegasus.
Per
quanto riguarda la sorveglianza, è bene essere chiari: stiamo parlando di una
sorveglianza totale. Pegasus è un malware modulare. Dopo aver
effettuato la scansione del dispositivo preso di mira, installa i moduli
necessari per leggere i messaggi e le mail degli utenti, ascoltare le chiamate,
fare screenshot, registrare i tasti premuti, esportare la cronologia del
browser, i contatti e così via. Fondamentalmente, è in grado di spiare ogni
aspetto della vita della vittima.
È bene notare che
Pegasus poteva ascoltare anche le registrazioni criptate e poteva leggere i
messaggi criptati (grazie alle sue capacità di keylogging e di registrazione
degli audio, stava rubando messaggi prima che
fossero criptati e, nel caso dei messaggi in arrivo, dopo il
decriptaggio).
Un altro fatto interessante su Pegasus è il fatto che questo
prova a nascondersi davvero bene. Il malware si autodistrugge se non è in grado
di comunicare con il server command & control (C&C) per più di 60
giorni, se esiste un antivirus potenzialmente in grado di rilevarlo, o se
rileva di essere stato installato su un dispositivo sbagliato con una scheda
SIM sbagliata. (Ricordate, questo è spionaggio mirato; i clienti di NSO Group
non spiavano vittime casuali).
Tutti i graziosi cavalli
Probabilmente gli sviluppatori di Pegasus pensavano di aver
investito troppo in questo progetto per limitarlo ad una sola piattaforma. Dopo
aver scoperto la prima versione, non ci è voluto molto per trovare la seconda.
Di conseguenza, al Security Analyst Summit 2017, i ricercatori di Lookout hanno
parlato di Pegasus per Android, conosciuto anche come Chrysaor (ecco come lo
chiama Google). La versione per Android è molto simile a quella per iOS in
termini di capacità, ma è diversa per quanto riguarda le tecniche che utilizza
per accedere al dispositivo.
Pegasus per Android non si basa sulle vulnerabilità zero-days.
Al contrario, utilizza un metodo molto conosciuto chiamato Framaroot. Ecco
un’altra differenza: se la versione per iOS non riesce ad effettuare il
jailbreak sul dispositivo, anche l’intero attacco non può essere portato a
termine; nella versione per Android, invece, anche se il malware non riesce ad
ottenere l’accesso root che gli permetterebbe di installare il software di
sorveglianza, continuerà a chiedere direttamente all’utente il permesso per
esportare almeno alcuni dati.
Secondo Google
esistono solo una dozzina di dispositivi Android infetti, ma per un attacco di
cyberspionaggio mirato è tantissimo. Il maggior numero di istallazioni di
Pegasus per Android è stato registrato in Israele, con la Georgia al secondo
posto e il Messico al terzo. Pegasus per Android è stato avvistato anche in
Turchia, Kenya, Nigeria, Emirati Arabi Uniti e altri paesi.
Probabilmente siete protetti,
ma…
Quando si è diffusa la notizia di una versione di Pegasus per
iOS, Apple ha reagito rapidamente. L’azienda ha rilasciato un aggiornamento di
sicurezza per iOS, 9.3.5, che risolveva le tre vulnerabilità citate
precedentemente.
Google, che ha aiutato a fare le indagini sulla versione
Android, ha deciso di intraprendere un’altra strada e ha inviato direttamente
un avviso alle potenziali vittime di Pegasus. Quindi, se avete aggiornato i
vostri gadget iOS con l’ultima versione del software e non avete ricevuto un
messaggio di avvertimento da parte di Google, probabilmente siete protetti e
non siete sotto l’occhio vigile di Pegasus.
Ad ogni modo, questo non vuol dire che non ci sia un altro
spyware ancora sconosciuto sia per iOS che per Android. L’esistenza di Pegasus
ha provato che il malware per iOS è qualcosa di più di un adware codificato
male e di alcuni siti web che richiedono un riscatto, che in fin dei conti sono
facili da bloccare. Ci sono minacce molto serie là fuori. Abbiamo solo tre
consigli da darvi affinché possiate proteggervi il più possibile:
1. Aggiornate sempre i
vostri dispositivi e prestate particolare attenzione agli aggiornamenti di
sicurezza.
2. Installate una buona soluzione
di sicurezza su ogni vostro dispositivo. Per il sistema
operativo iOS non ne troverete, ma speriamo che il caso di Pegasus faccia
ripensare Apple alla sua politica.
3. Non cedete né al
phishing, anche se si tratta di spear-phishing come
nel caso di Ahmed Mansoor. Se ricevete un link da una fonte sconosciuta, non
cliccateci. Pensateci bene prima di cliccare (o non cliccate affatto).
Link originale: https://www.kaspersky.it/blog/pegasus-spyware/10058/