Badania organizacji pozarządowej specjalizującej się w obronie prywatności zdejmują zasłony z całkowicie włoskiego złośliwego oprogramowania zaprojektowanego do szpiegowania i przechwytywania użytkowników Androida
W Sklepie Play działa wirus na Androida wyprodukowany we Włoszech: nazywa się Exodus i jest zawarty w około 20 zainfekowanych aplikacjach, które zostały już pobrane i używane przez tysiąc osób. Mówi się, że został on wyprodukowany przez firmę eSurf z Catanzaro, która specjalizuje się w systemach nadzoru i w przeszłości miała kontrakty z włoskimi organami ścigania.
Tak wynika z raportu organizacji pozarządowej Security Without Borders, która specjalizuje się w cyberatakach i ochronie prywatności działaczy na rzecz praw człowieka, praw politycznych i społecznych, współpracującej z magazynem Motherboard.
Co robi Exodus, czyli złośliwe oprogramowanie, które przechwytuje Włochów
Z pogłębionego raportu organizacji pozarządowej wynika, że głównym celem złośliwego oprogramowania Exodus jest zbieranie informacji o użytkowniku zainfekowanego smartfona. Złośliwy kod, w rzeczywistości, może zgarnąć wszystko po trochu: lista zainstalowanych aplikacji, dźwięk z otoczenia nagrany mikrofonem telefonu, historia przeglądania i zakładki z Chrome i SBrowser (przeglądarka w telefonach Samsung), zdarzenia z kalendarza, logi połączeń, nagrywanie rozmów telefonicznych, robienie zdjęć aparatem, informacje o komórkach, wyodrębnienie książki adresowej, lista kontaktów z Facebooka, logi z rozmów w Messengerze, wykonywać zrzuty ekranu z dowolnej aplikacji z funkcją, wydobywać informacje o obrazach z Galerii, wydobywać informacje z Gmaila, kontakty i wiadomości z aplikacji Skype, odzyskać wszystkie wiadomości SMS i wiadomości oraz klucz szyfrowania z Telegrama, dane z komunikatora Viber i logi z WhatsApp, ale także odzyskać pliki wymieniane z WhatsApp, hasło sieci Wi-Fi, do której jesteś podłączony, dane z WeChat, a nawet współrzędne GPS telefonu.
Które aplikacje są zainfekowane przez Exodusa
Złośliwe oprogramowanie Exodus zostało zaszczepione w co najmniej dwudziestu aplikacjach, wszystkie włoskie i w języku włoskim, regularnie wgrywane do Sklepu Play, których filtry nie wykryły żadnego zagrożenia dla użytkownika. Ze wstępnego rozpoznania przeprowadzonego przez Bufale.net te dziesięć aplikacji jest zdecydowanie zainfekowanych: Pomoc na linii, Oferty specjalne, Spersonalizowane oferty telefoniczne, Usługi telefoniczne Premium, Oferty dla Ciebie, Reaktywuj pomoc na linii, Operator Włochy, Oferty promocyjne, Pomoc SIM i Oferty telefoniczne dla Ciebie. Wirus działa od co najmniej 2016 roku, więc możliwe, że istnieją jeszcze inne zainfekowane aplikacje, które nie zostały jeszcze odkryte. Google podobno usunęło już wszystkie zainfekowane aplikacje ze swojego sklepu.
Jak działa wirus Exodus
Infekcja Exodusem rozpoczyna się od pobrania i zainstalowania jednej z zainfekowanych aplikacji. Wirus posiada dwa etapy, zwane "Exodus 1" i "Exodus 2", z których pierwszy ma za zadanie odczytanie kodu IMEI telefonu komórkowego i przekazanie go do serwera Command & Control. Takie zachowanie sugerowałoby, że jest to złośliwe oprogramowanie zaprogramowane do szpiegowania określonej liczby użytkowników, co jest zgodne ze scenariuszem przechwycenia przez policję.
W rzeczywistości jednak organizacja Security Without Borders odkryła, że nawet jeśli przesłany IMEI jest IMEI nowego, jednorazowego telefonu komórkowego, aktywowanego tylko w celach testowych, Exodus jest nadal aktywowany poprzez pobranie drugiego pakietu Exodus 2, zawierającego rzeczywistego wirusa, który zaczyna śledzić nasze zachowanie. Wśród poważnych zagrożeń, jakie niesie ze sobą Exodus, jest fakt, że - celowo lub przez nieprawidłowe zaprogramowanie - pozostawia on kilka portów otwartych i sprawia, że smartfon jest podatny na atak każdego, kto jest podłączony do tej samej sieci Wi-Fi i (być może) nawet do tej samej komórki operatora komórkowego.
Dlaczego Exodus dotyka również zwykłych użytkowników?
W ciągu ostatnich kilku godzin rozgorzała gorąca dyskusja na temat tego wirusa: jeśli prawdą jest, jak wszystko na to wskazuje, że jest to wirus stworzony do prowadzenia dogłębnego podsłuchu środowiska, dlaczego został on wstrzyknięty do aplikacji, które każdy może swobodnie pobrać z oficjalnego sklepu Google? Najbardziej rozpowszechniona hipoteza jest również najmniej uspokajająca: został on umieszczony w Sklepie Play, aby można było go przetestować przed wykorzystaniem w oficjalnych dochodzeniach. W ciągu ostatnich kilku godzin Garante della Privacy, Antonello Soro, wypowiedział się na ten temat: "Wiadomość o przechwyceniu setek obywateli, którzy nie mają żadnego związku z dochodzeniami sądowymi, z powodu zwykłego błędu w działaniu taśmy komputerowej używanej do celów dochodzeniowych, jest sprawą bardzo niepokojącą i będzie przedmiotem należytego dochodzenia, również przez Garante, w ramach jej kompetencji.
Jak bronić się przed wirusem Exodus
Jeśli w przeszłości pobrałeś jedną z zainfekowanych aplikacji, jest niemal pewne, że Twój smartfon jest zainfekowany, a Exodus zbiera na Twój temat ogromne ilości danych. Aby usunąć wirusa, musisz użyć dobrego programu antywirusowego, który jest aktualny z najnowszą wersją. Problem jednak w tym, że o istnieniu tego złośliwego oprogramowania dowiedzieliśmy się dopiero niedawno, więc nie ma pewności, że najpopularniejsze programy antywirusowe będą w stanie wykryć Exodusa.