Pegasus: l’ultimo spyware per iOS e Android

L’attacco più sofisticato mai visto sui terminali: uno spyware modulare che si nasconde sui dispositivi Android e iOS.

Gli utenti di iPhone e iPad Apple credono in genere di essere protetti.

Non esiste un malware per iOS, dicono. Apple fa davvero poco per scoraggiare questa idea (l’ “azienda della mela” non permette nemmeno l’accesso alle soluzioni antivirus nel suo AppStore, perché apparentemente non ce n’è bisogno).

La parola chiave, in questo caso, è apparentemente. In realtà esiste un malware che prende di mira gli utenti iOS (è stato provato molte volte) e ad agosto 2016 i ricercatori l’hanno provato ancora una volta, rivelando l’esistenza di Pegasus, uno spyware in grado di hackerare qualsiasi iPad o iPhone, raccogliendo dati sulle vittime e controllandole). Questa scoperta ha turbato l’intero mondo della cybersicurezza.

Al nostro Security Analyst Summit, I ricercatori di Lookout hanno rivelato che Pegasus esiste non solo per iOS ma anche per Android. La versione per Android è in un certo senso diversa dal suo predecessore per iOS. Chiariamo un po’ che cos’è Pegasus e perché utilizziamo la parola “ultimo” per descriverlo.

Pegasus: l’inizio

Pegasus è stato scoperto grazie a Ahmed Mansoor, un attivista per i diritti umani degli Emirati Arabi che è diventato una delle sue vittime. Si trattava di un attacco di spear-phishing. Mansoor aveva ricevuto diversi SMS che contenevano quello che lui pensava fossero link pericolosi, per questo ha inviato i messaggi agli esperti di sicurezza del Citizen Lab che hanno coinvolto nelle indagini anche un’altra azienda di cybersicurezza, Lookout.

Mansoor non si sbagliava. Se avesse cliccato su uno di quei link, il suo iPhone sarebbe stato infettato da un malware (un malware per iOS, per gli iOS senza jailbreak, per l’esattezza). Il malware è stato chiamato Pegasus e per i ricercatori di Lookout si tratta dell’attacco più sofisticato mai visto in qualsiasi terminale.

Pegasus è stato attribuito all’NSO Group, un’azienda israeliana che si guadagna il pane quotidiano sviluppando spyware. Questo vuol dire che il malware è commerciale (viene venduto a chiunque abbia soldi per comprarlo). Pegasus si basa su tre enormi vulnerabilità zero day (prima sconosciute) nell’iOS che gli consentono di effettuare il jailbreak del dispositivo e di installare un software di sorveglianza. Un’altra azienda di cybersicurezza, Zerodium, una volta ha offerto un milione di dollari per un zero-day per iOS, quindi potete immaginarvi quanto sia costato creare Pegasus.

Per quanto riguarda la sorveglianza, è bene essere chiari: stiamo parlando di una sorveglianza totale. Pegasus è un malware modulare. Dopo aver effettuato la scansione del dispositivo preso di mira, installa i moduli necessari per leggere i messaggi e le mail degli utenti, ascoltare le chiamate, fare screenshot, registrare i tasti premuti, esportare la cronologia del browser, i contatti e così via. Fondamentalmente, è in grado di spiare ogni aspetto della vita della vittima.

È bene notare che Pegasus poteva ascoltare anche le registrazioni criptate e poteva leggere i messaggi criptati (grazie alle sue capacità di keylogging e di registrazione degli audio, stava rubando messaggi prima che fossero criptati e, nel caso dei messaggi in arrivo, dopo il decriptaggio).

Un altro fatto interessante su Pegasus è il fatto che questo prova a nascondersi davvero bene. Il malware si autodistrugge se non è in grado di comunicare con il server command & control (C&C) per più di 60 giorni, se esiste un antivirus potenzialmente in grado di rilevarlo, o se rileva di essere stato installato su un dispositivo sbagliato con una scheda SIM sbagliata. (Ricordate, questo è spionaggio mirato; i clienti di NSO Group non spiavano vittime casuali).

Tutti i graziosi cavalli

Probabilmente gli sviluppatori di Pegasus pensavano di aver investito troppo in questo progetto per limitarlo ad una sola piattaforma. Dopo aver scoperto la prima versione, non ci è voluto molto per trovare la seconda. Di conseguenza, al Security Analyst Summit 2017, i ricercatori di Lookout hanno parlato di Pegasus per Android, conosciuto anche come Chrysaor (ecco come lo chiama Google). La versione per Android è molto simile a quella per iOS in termini di capacità, ma è diversa per quanto riguarda le tecniche che utilizza per accedere al dispositivo.

Pegasus per Android non si basa sulle vulnerabilità zero-days. Al contrario, utilizza un metodo molto conosciuto chiamato Framaroot. Ecco un’altra differenza: se la versione per iOS non riesce ad effettuare il jailbreak sul dispositivo, anche l’intero attacco non può essere portato a termine; nella versione per Android, invece, anche se il malware non riesce ad ottenere l’accesso root che gli permetterebbe di installare il software di sorveglianza, continuerà a chiedere direttamente all’utente il permesso per esportare almeno alcuni dati.

Secondo Google esistono solo una dozzina di dispositivi Android infetti, ma per un attacco di cyberspionaggio mirato è tantissimo. Il maggior numero di istallazioni di Pegasus per Android è stato registrato in Israele, con la Georgia al secondo posto e il Messico al terzo. Pegasus per Android è stato avvistato anche in Turchia, Kenya, Nigeria, Emirati Arabi Uniti e altri paesi.

Probabilmente siete protetti, ma…

Quando si è diffusa la notizia di una versione di Pegasus per iOS, Apple ha reagito rapidamente. L’azienda ha rilasciato un aggiornamento di sicurezza per iOS, 9.3.5, che risolveva le tre vulnerabilità citate precedentemente.

Google, che ha aiutato a fare le indagini sulla versione Android, ha deciso di intraprendere un’altra strada e ha inviato direttamente un avviso alle potenziali vittime di Pegasus. Quindi, se avete aggiornato i vostri gadget iOS con l’ultima versione del software e non avete ricevuto un messaggio di avvertimento da parte di Google, probabilmente siete protetti e non siete sotto l’occhio vigile di Pegasus.

Ad ogni modo, questo non vuol dire che non ci sia un altro spyware ancora sconosciuto sia per iOS che per Android. L’esistenza di Pegasus ha provato che il malware per iOS è qualcosa di più di un adware codificato male e di alcuni siti web che richiedono un riscatto, che in fin dei conti sono facili da bloccare. Ci sono minacce molto serie là fuori. Abbiamo solo tre consigli da darvi affinché possiate proteggervi il più possibile:

  1. Aggiornate sempre i vostri dispositivi e prestate particolare attenzione agli aggiornamenti di sicurezza.
  2. Installate una buona soluzione di sicurezza su ogni vostro dispositivo. Per il sistema operativo iOS non ne troverete, ma speriamo che il caso di Pegasus faccia ripensare Apple alla sua politica.
  3. Non cedete né al phishing, anche se si tratta di spear-phishing come nel caso di Ahmed Mansoor. Se ricevete un link da una fonte sconosciuta, non cliccateci. Pensateci bene prima di cliccare (o non cliccate affatto).
Consigli