Lo scorso luglio, la Hacking Team è stata vittima di un attacco che ha portato alla diffusione online di tutti i rapporti commerciali dell’azienda, che fornisce servizi di intrusione offensiva e sorveglianza a governi e organi di polizia. Tra questi dati, erano presenti messaggi di posta, fatture, file, ma non solo. Scavando a fondo tra i 400 gigabyte di materiale, sono stati trovati diversi codici sorgente, tra cui uno strumento di hacking per Android molto avanzato.
RCSAndroid è così sofisticato che anche un hacker in erba saprebbe come usarlo
I ricercatori hanno trovato questo codice sorgente di un malware per Android che ha la capacità di infettare milioni di device Android anche quando gli utilizzatori usano le ultime versioni del sistema operativo. I ricercatori di Trend Micro hanno scoperto che l’azienda italiana vendeva RCSAndroid (Remote Control System Android), per i quali è “uno dei malware Android più sofisticati e professionalmente sviluppati” e cioè il miglior strumento di hacking che abbiano mai visto.
La pericolosità di RCSAndroid sta nel fatto che è uno strumento di hacking e sorveglianza così sofisticato, che anche hacker poco esperti possono utilizzarlo per spiare gli smartphone Android di tutto il mondo.
Le funzioni dello strumento di hacking RCSAndroid
Una volta installato sui device target, RCSAndroid avrebbe aiutato i governi e le forze dell’ordine a comrpomettere e monitorare i device Android da remoto.
Tra le varie funzionalità di RCSAdroid ci sono:
- la possibilità di catturare screenshot;
- rubare le password delle reti Wi-Fi e degli account online di programmi come Whatsapp, Facebook, Twitter, Google, Skype e molti altri;
- raccogliere email, SMS, MMS;
- registrare chiamate in tempo reale;
- scattare foto sia dalla fotocamera frontale che posteriore;
- registrare usando il microfono;
- salvare la posizione del device;
- salvare contatti e messaggi delle app di instant messaging come Whatsapp, Telegram, Facebook Messenger, Skype, Viber, Hangouts.
Se tutto quiesto non fosse già preoccupante, basti sapere che RCSAndroid è in circolazione già dal 2012 e che è conosciuto dai ricercatori del Citizien Lab dall’anno scorso, quando la società di sicurezza ha scoperto una backdoor di Hacking Team che controllava i sistemi Android in Arabia Saudita.
Come fa RCSAndroid a infettare i device Android
I metodi usati da RCSAndroid per infettare i device Android sono sostanzialmente due:
- Hacking Team usava SMS e rmail che contenevano url specificamente creati per approfittare di alcune vulnerabilità presenti nei browser di default di Android 4.0 Ice Cream e Android 4.3 Jelly Bean, che consentivano all’hacker di ottenere permessi di root e installare l’apk di RCSAndroid.
- L’azienda usava app backdoor come “BeNews”, disponibili sul Play Store, per approfittare e ottenere i permessi di root.
C’è da dire che i possessori di Android Lollipop pure potrebbero essere in pericolo, in quanto da alcune email sembrerebbe che il team fosse al lavoro per sviluppare nuove criticità del sistema operativo da sfruttare, ma al momento non vi è alcuna indicazione che queste esistano.