Uno spyware per Android con funzioni mai viste. Individuato solo su alcuni target italiani. Forse prodotto da un’azienda italiana per attività di indagine da parte delle forze di polizia e dell’autorità giudiziaria.
La società di sicurezza Kaspersky ha appena pubblicato un’analisi in cui spiega di aver scoperto un nuovo tipo di software spia per dispositivi mobili, con caratteristiche avanzate. Il software (che i ricercatori Kaspersky hanno chiamato Skygofree da uno dei domini, ma che non ha alcuna connessione con Sky, Sky go e i relativi servizi e app), come altri del suo genere, permette di controllare di nascosto il dispositivo da remoto e in particolare di catturare messaggi Whatsapp; il registro delle chiamate; gli sms; gli eventi in calendario e altre informazioni conservate in memoria. Soprattutto, consente di attivare la registrazione audio via microfono in modo automatico sulla base della posizione stessa del cellulare (se cioè questo si trova in una specifica area geografica, una funzione detta di geofence). “Ciò significa che non è necessario dare un comando di attivazione (o disattivazione) della registrazione quando il dispositivo entra in un determinato luogo”, commenta a La Stampa Vicente Diaz, uno dei ricercatori di Kaspersky.
Lo spyware, riferisce il report, sarebbe veicolato a partire da alcune finte pagine web di operatori telefonici e loro offerte. Alcuni di questi domini sono stati registrati già nel 2015, mentre il più recente risalirebbe allo scorso ottobre. Secondo i dati di Kaspersky, le infezioni riguarderebbero alcuni individui (al massimo due dozzine, commenta Diaz), in Italia. Una campagna limitata anche perché il software, ipotizza l’analisi, sarebbe stato sviluppato da un’azienda italiana che offre soluzioni di sorveglianza e intercettazione.
Negli ultimi anni il mercato italiano di questi software spia usati a fini di indagine – in tal caso vengono spesso definiti captatori informatici, agenti intrusori, virus autoinstallanti – è in particolare fermento. Non solo perché hanno iniziato ad affacciarsi nuove aziende produttrici, oltre alla più nota Hacking Team (che subì un attacco informatico nel 2015). Ma anche perché si sta andando verso una progressiva regolamentazione di questi strumenti, che fino a poco tempo fa, pur essendo utilizzati, vivevano in una sorta di silenzioso limbo giuridico. Proprio pochi giorni fa è stato infatti pubblicato in Gazzetta ufficiale il decreto legislativo (n. 216/2017) sulla riforma della disciplina delle intercettazioni che include anche delle disposizioni sui captatori, formalizzandone il loro utilizzo per tutti i reati in cui sono già previste le intercettazioni tradizionali.
Il decreto stabilisce anche come la registrazione audio via microfono per fare intercettazioni ambientali (dette “fra presenti”) non possa essere tenuta accesa indistintamente, ma debba essere attivata da remoto sulla base delle indicazioni di tempo e di spazio date dal pm. In particolare l’intercettazione audio va disattivata qualora avvenga tra le mura di casa, a meno che lì non stia avvenendo l’attività criminosa; oppure a meno che l’indagine non riguardi casi di mafia e terrorismo, per i quali saltano questi limiti.
“In pratica il decreto inserisce il captatore solo come strumento di intercettazione ambientale, ottenuta attraverso l’attivazione da remoto del suo microfono”, commentano a La Stampa Giovanni Battista Gallus e Francesco Micozzi, avvocati esperti di temi informatici che da tempo seguono il tema captatori. “Quindi resta un punto interrogativo sugli altri usi del captatore, non si capisce che fine facciano. Ci troviamo in una situazione in cui non si è intervenuti sulle sue altre funzioni, come la possibilità di effettuare perquisizioni da remoto, di acquisire file di log, tracce Gps del telefonino ecc. Che cosa vuol dire? Che è impossibile usare il captatore per queste attività? O che vale ad esempio la tesi della sentenza Occhionero della Cassazione per cui si possono usare come una intercettazione telematica?”.
Con la riforma delle intercettazioni si sono infatti perse per strada quelle tutele e quei paletti immaginati da precedenti proposte legislative sui trojan – in particolare la proposta Quintarelli – che oltre a distinguere tra le diverse funzionalità dei trojan (intercettazione ambientale, perquisizione da remoto, ecc) ne avrebbero limitato l’utilizzo solo per i reati più gravi; o che avrebbero previsto sistemi di verifica a garanzia della difesa oltre che un articolato processo di certificazione dei captatori autorizzati (l’attuale riforma si limita a parlare di conformità a requisiti tecnici).
“Se il captatore informatico rappresenta il futuro delle investigazioni – scriveva un recente rapporto Clusit-Associazione italiana per la sicurezza informatica, a firma di Giuseppe Vaciago e Francesca Bosco – non si può negare che sia, a tutti gli effetti, una delle più pericolose cyber-weapon esistenti sul mercato e come tale vada trattato e regolamentato sia a livello nazionale che a livello internazionale.