Meta Platforms ha dichiarato di aver adottato una serie di misure per limitare le attività malevole di otto diverse aziende con sede in Italia, Spagna e negli Emirati Arabi Uniti (EAU), operanti nell’industria della sorveglianza su commissione.
Queste scoperte fanno parte del suo Rapporto sulle Minacce Avversarie per il quarto trimestre del 2023; il software spia ha preso di mira dispositivi iOS, Android e Windows.
Cosa ci dice Meta a riguardo di questi 8 spyware che mirano a dispositivi Windows, Android e iOS
“I loro diversi malware includevano funzionalità per raccogliere e accedere a informazioni del dispositivo, posizione, foto e media, contatti, calendario, email, SMS, social media e app di messaggistica, e abilitare microfono, fotocamera e funzionalità di screenshot“, ha dichiarato Meta.
Le otto aziende responsabili secondo Meta sono Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group e Mollitiam Industries.
Queste aziende, secondo Meta, si sono anche impegnate in attività di scraping, ingegneria sociale e phishing che hanno preso di mira una vasta gamma di piattaforme come Facebook, Instagram, X (precedentemente Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch e Telegram.
In particolare, una rete di false identità legata a RCS Labs, di proprietà di Cy4Gate, è stata accusata di ingannare gli utenti per ottenere i loro numeri di telefono e indirizzi email, oltre a cliccare su link fasulli per condurre ricognizioni.
Un altro gruppo di account Facebook e Instagram, ora rimossi, associati al fornitore spagnolo di spyware Variston IT, è stato utilizzato per lo sviluppo e il test di exploit, inclusa la condivisione di link dannosi; la scorsa settimana sono emerse notizie che l’azienda sta chiudendo le sue operazioni.
Meta ha anche dichiarato di aver identificato gli account utilizzati da Negg Group per testare la distribuzione del suo spyware, così come da Mollitiam Industries, un’azienda spagnola che pubblicizza un servizio di raccolta dati e spyware mirato a Windows, macOS e Android, per raccogliere informazioni pubbliche.
Inoltre, il gigante dei social media ha agito su reti provenienti dalla Cina, dal Myanmar e dall’Ucraina che mostravano un comportamento inautentico coordinato (CIB), rimuovendo oltre 2.000 account, pagine e gruppi da Facebook e Instagram.
Mentre il cluster cinese ha preso di mira il pubblico statunitense con contenuti relativi alla critica della politica estera statunitense nei confronti di Taiwan e Israele e al suo sostegno all’Ucraina, la rete originaria del Myanmar ha preso di mira i propri residenti con articoli originali che lodavano l’esercito birmano e denigravano le organizzazioni armate etniche e i gruppi minoritari.
Il terzo cluster è noto per l’uso di false pagine e gruppi per pubblicare contenuti a sostegno del politico ucraino Viktor Razvadovskyi, condividendo anche “commenti di sostegno sul governo attuale e commenti critici sull’opposizione” in Kazakistan.
Questi sviluppi avvengono mentre una coalizione di governi e aziende tecnologiche, tra cui Meta, ha firmato un accordo per limitare l’abuso di software spia commerciale per commettere abusi sui diritti umani.
Come contromisure, l’azienda ha introdotto nuove funzionalità come il Control Flow Integrity (CFI) abilitato su Messenger per Android e l’isolamento della memoria VoIP per WhatsApp nel tentativo di rendere più difficile l’exploit e ridurre la superficie complessiva di attacco.
Detto questo, l’industria della sorveglianza continua a prosperare in forme molteplici ed inaspettate; il mese scorso, 404 Media, basandosi su ricerche precedenti del Consiglio Irlandese per le Libertà Civili (ICCL) nel novembre 2023, ha svelato uno strumento di sorveglianza chiamato Patternz che sfrutta dati di pubblicità in tempo reale (RTB) raccolti da app popolari come 9gag, Truecaller e Kik per tracciare dispositivi mobili.
“Patternz consente alle agenzie di sicurezza nazionale di utilizzare dati di pubblicità generati in tempo reale e storici per rilevare, monitorare e prevedere le azioni degli utenti, le minacce alla sicurezza e le anomalie basate sul comportamento degli utenti, i modelli di posizione e le caratteristiche di utilizzo del cellulare“, ha affermato ISA, l’azienda israeliana dietro il prodotto, sul suo sito web.
La scorsa settimana, Enea ha svelato un attacco di rete mobile precedentemente sconosciuto chiamato MMS Fingerprint, presumibilmente utilizzato dal produttore di Pegasus, NSO Group. Questa informazione era inclusa in un contratto del 2015 tra l’azienda e il regolatore delle telecomunicazioni del Ghana.
Mentre il metodo esatto utilizzato rimane in parte un mistero, la società di sicurezza delle telecomunicazioni svedese sospetta che coinvolga probabilmente l’uso di MM1_notification.REQ, un tipo speciale di messaggio SMS chiamato SMS binario che avvisa il dispositivo destinatario di un MMS in attesa di recupero dal Multimedia Messaging Service Center (MMSC).
L’MMS viene quindi recuperato mediante MM1_retrieve.REQ e MM1_retrieve.RES, con il primo che è una richiesta HTTP GET all’indirizzo URL contenuto nel messaggio MM1_notification.REQ.
Ciò che è notevole di questa approccio è che le informazioni del dispositivo dell’utente come User-Agent (diverso dalla stringa User-Agent di un browser web) e x-wap-profile sono incorporate nella richiesta GET, agendo quindi come una sorta di impronta digitale.
“L’User-Agent (MMS) è una stringa che identifica tipicamente il sistema operativo e il dispositivo“, ha dichiarato Enea. “x-wap-profile indica un file UAProf (User Agent Profile) che descrive le capacità di un cellulare.”
Un criminale informatico desideroso di distribuire spyware potrebbe utilizzare queste informazioni per sfruttare vulnerabilità specifiche, adattare i loro payload dannosi al dispositivo di destinazione o addirittura creare campagne di phishing più efficaci. Tuttavia, non ci sono prove che questa falla di sicurezza sia stata sfruttata nel mondo reale negli ultimi mesi.
