Da alcuni mesi, media e siti specializzati in materia cyber riportano notizie a proposito del malware Exodus e del suo potenziale dannoso nei confronti della privacy degli utenti del sistema Android e, più in generale, dei cittadini connessi in rete. Il malware, a detta di molti creato da un ente governativo italiano per eseguire legalmente intercettazioni informatiche, è stato diffuso in rete sul cosiddetto app store, ossia sullo spazio virtuale da cui gli utenti possono scaricare le app da installare sul proprio dispositivo mobile.
Secondo un report di Security Without Borders, una ONG specializzata in tematiche cyber, Exodus riesce ad ottenere i dati dei soggetti sotto osservazione nel momento in cui costoro utilizzano alcune particolari applicazioni che funzionano da backdoor, ossia da accesso di servizio. Si tratta di accessi particolarmente insidiosi perché restano “come si dice in gergo tecnico“ aperti e connessi alla rete wi-fi a cui si è¨ connesso il dispositivo infetto, creando rischi anche per soggetti terzi: non a caso tra le capacità specifiche di Exodus c’è quella di registrare e memorizzare password di accesso alle reti private, oltreché log (serie di comandi operativi e registrazioni) e messaggi (anche cifrati) di applicazioni quali Viber Messenger, Telegram e Whatsapp, quest’ultimo vulnerabile anche per ciò che riguarda file e immagini scambiate, che finiscono di default in cartelle facilmente aggredibili, come ad esempio la galleria immagini. Il malware sarebbe inoltre in grado di leggere il codice IMEI di cellulari ed altri device simili e, tramite questo, identificare univocamente ed associare le informazioni agli utenti.
Ulteriore peculiarità di Exodus è che esso si attiva in due fasi e per mezzo di due diversi service pack, Exodus1 e Exodus2. Il primo pacchetto traccia il dispositivo colpito, lo identifica ed eventualmente aggira i più comuni strumenti anti-tracciamento, come i fake-IMEI e fake-identity generators, ossia software che permettono all’utente di inserire informazioni usa e getta e verosimili “ma non autentiche“ per compiere registrazioni necessarie per scaricare alcuni tipi di app. Il secondo pacchetto contiene il vero e proprio codice infetto, che apre le backdoor e procede con il rastrellamento di dati, ivi compresi quelli relativi a posizione, rubrica dei contatti e messaggi di testo.
Anche se ormai siamo abituati ad essere tracciati, profilati e, in un certo qual modo, osservati di continuo, la novità introdotta da Exodus è degna di nota, soprattutto se risultasse vera la già citata ipotesi riportata da Motherboard ed altri siti, secondo i quali la diffusione in rete sia servita a testarne l’efficacia per uso investigativo da parte di organi di Stato. Infatti, fino ad oggi, gli organi di Polizia Giudiziaria e tutti i soggetti con funzione investigativa hanno sempre avuto difficoltà a risalire a testi e conversazioni se non intercettati in tempo reale con apposito provvedimento del PM, che avrebbe dovuto autorizzare l’intercettazione per 15 o 40 giorni a seconda dei casi previsti dalla legge agli articoli 267 c.p.p. Exodus, invece, permette di raccogliere messaggi di testo, vocali e immagini presenti nel dispositivo intercettato anche qualora essi risalgano a periodi antecedenti, se non debitamente cancellati dall’utente, operando come “captatore informatico”, il cui uso è previsto dalla nuova normativa in materia di intercettazioni, introdotta con il Decreto legislativo 29 dicembre 2017, n. 216. Disposizioni in materia di intercettazioni di conversazioni o comunicazioni, in attuazione della delega di cui all’articolo 1, commi 82, 83 e 84, lettere a), b), c), d) ed e), della legge 23 giugno 2017, n. 103, ove però non sono del tutto chiarite le questioni riguardanti il limite temporale e le modalità di uso del nuovo strumento di raccolta dati.
A prescindere dal reale scopo per cui Exodus è stato creato, è importante segnalare che esso è in circolazione da ormai più di due anni e che può aver raccolto una enorme quantità di dati, anche se le app che lo nascondevano sono state rimosse dagli store a fine 2018. Fino ad oggi, sono state contate circa 25 applicazioni contenenti il malware: fanno tutte riferimento a fantomatiche offerte di assistenza, promozioni, sconti e promesse di irreali vantaggi per utenti a caccia di novità ed agevolazioni. La diffusione è stata silenziosa ma virale, sia a causa della già citata attivazione in due fasi, sia perché la schedatura di Exodus nelle library degli antivirus, finanche di quelli più comuni. Tale diffusione, oltre che a ledere la privacy di alcuni ignari utenti, ha creato danni economici per alcuni soggetti ed ingenti guadagni per altri poichè, come è noto, il tempo è denaro, sia nel mondo reale, che in quello cyber, fatto di soundbyte e screenshot.
