C’è un settore che da qualche anno sta vivendo un pieno boom e che non risente di alcuna crisi, perché il suo mercato è diventato enorme.

Si tratta degli spyware, quei software che appartengono alla categoria dei malware e che raccolgono informazioni sull'attività online di ignare persone, ovviamente senza il loro consenso.

In questo ambito opera almeno una quindicina di aziende, come ad esempio le internazionali NSO, Cytrox, Intellexa, Paragon, oppure le italiane RCS Labs, Memento Labs, Negg, Raxir.

I prodotti più noti si chiamano Pegasus, Predator, Graphite, Hermit (quest’ultimo è lo spyware italiano sviluppato da RCS Labs) ed essi si suddividono in due grandi categorie ben distinte :

• spyware che hanno bisogno che le vittime li installino oppure li attivino accidentalmente sui propri dispositivi,
• spyware che si installano autonomamente sui dispositivi delle vittime grazie a degli attacchi zero-click, che in gergo vengono anche chiamati “exploit zero-click”.

Il più pericoloso di tutti gli spyware comunque è Pegasus, proprio perché attualmente è l’unico che si installa senza necessità di clic o di azioni da parte delle vittime, visto che per attivare quel software malevolo basta un ben condotto exploit, che, sfruttando quelle vulnerabilità che sono presenti in tutti i dispositivi, faccia leva su qualche falla nel sistema di verifica dei dati per riuscire a entrare nel sistema di controllo dell’apparato (per molti utenti iPhone, ad esempio, è bastato aprire un iMessage per attivare quel software malevolo).

Gli attacchi zero-click

• prendono molto frequentemente di mira quelle app che forniscono servizi di messaggistica o chiamate vocali, e gli autori degli attacchi, per riuscire a introdurre i codici capaci di compromettere i dispositivi delle vittime, di solito utilizzano dei dati che hanno creato appositamente, e che potrebbero essere dei files di immagini oppure dei messaggi di testo nascosti,
• possono essere costituiti da una serie di pacchetti di rete, di richieste di autenticazione, di messaggi di testo, di MMS, di messaggi in segreteria, di sessioni di videoconferenza, di telefonate o di messaggi inviati tramite Skype, Telegram, WhatsApp, etc.

Una volta che un telefonino viene infettato da Pegasus, il malware può leggere i messaggi e le e-mail, può ascoltare le chiamate, può registrare le password e può persino tenere traccia delle posizioni visitate.

Tutte queste caratteristiche sembrerebbero rendere Pegasus un temibile oggetto di repulsione per la maggior parte degli individui, ma per fortuna per il momento non è ancora così, perché sia Pegasus sia gli attacchi zero-click sono decisamente costosi.

Infatti, Pegasus viene venduto agli stati nazionali ad un prezzo di vari milioni di dollari, e anche gli attacchi zero-click sono estremamente costosi, considerato che una catena di infezioni zero-click con persistenza può costare anche 2,5 milioni di dollari.

Personalmente non ho quindi nulla da temere da Pegasus, perché sono sicuro che nessuno spenderà cifre come quelle per spiare me e gli altri umili mortali come me.

Le centinaia di giornalisti, le centinaia di dissidenti, la quindicina di capi di stato che si sono ritrovati i telefonini infettati e intercettati da Pegasus invece fanno molto bene a sospettare di quello spyware, che era nato per il contrasto alla criminalità e al terrorismo, ma che sempre più spesso e da sempre più Paesi viene utilizzato per la sorveglianza di personaggi politici, di attivisti, di cronisti e di corrispondenti.

Ci sono diversi segnali che possono far capire se uno smartphone sia stato infettato da uno spyware.
Ad esempio, se si notano

• lentezza nell’eseguire i comandi,
• difficoltà di spegnimento,
• importanti cambiamenti nella durata della batteria senza che siano cambiate le abitudini di utilizzo,
• surriscaldamenti anomali anche in sessioni di lavoro leggere,

tutto ciò potrebbe indicare che lo smartphone stia inviando oppure ricevendo una anomala mole di dati e potrebbe far pensare che qualche malintenzionato ne abbia acquisito il controllo tramite uno spyware.

Alcune semplici regole che potrebbero essere d’aiuto:

• riavviare il telefonino ogni giorno. Sembra che le infezioni di Pegasus si basino soprattutto su attacchi zero-click 0-days senza persistenza, pertanto il riavvio quotidiano dello smartphone aiuta a pulire il dispositivo e costringe gli aggressori a reinfettarlo più e più volte, e questo comporta dei costi che non tutti i manigoldi possono sostenere,
• disattivare iMessage e Facetime. iMessage e Facetime sono integrati in iOS e sono abilitati di default, questo li rende degli attraenti vettori di sfruttamento che sono stati utilizzati da moltissimi attacchi zero-click,
• mantenere aggiornato lo smartphone. È molto importante installare le ultime patch di iOS subito quando escono, perché non tutti i criminali possono permettersi gli attacchi zero-click 0-day, quindi molti malfattori si limitano a prendere di mira le vulnerabilità che sono già state risolte,
• non cliccare mai sui link ricevuti nei messaggi. Si tratta di una regola semplice ma efficace, perché quei delinquenti che non possono permettersi gli alti costi degli attacchi zero-click si affidano agli attacchi 1-click, i quali arrivano sotto forma di messaggio,
• eseguire regolarmente il backup dei sistemi. Quando si dispone di un backup di tutti i dati aggiornato, un eventuale processo di ripristino dello smartphone viene enormemente semplificato e accelerato,
• abilitare il blocco dei pop-up oppure impedire la visualizzazione dei pop-up. I truffatori utilizzano abitualmente i pop-up per diffondere i loro malware, quindi regolare di conseguenza le impostazioni del browser è davvero molto utile e importante.