Un nuovo rapporto dell’organizzazione italiana per i diritti digitali Osservatorio Nessuno ha scoperto una sofisticata campagna di sorveglianza che coinvolge un ceppo di malware soprannominato “Morpheus.” I risultati rivelano una tendenza preoccupante: entità legate al governo utilizzano sempre più tattiche ingannevoli di ingegneria sociale “a basso costo” per aggirare la sicurezza mobile.
Зміст
L’anatomia di un inganno
A differenza degli exploit “zero-click” di fascia alta utilizzati da aziende d’élite come NSO Group, che possono infettare un telefono senza che l’utente lo tocchi, Morpheus si affida all’ingegneria sociale. Induce l’utente a installare volontariamente il malware attraverso una serie di manovre psicologiche calcolate:
- Interruzione del servizio: i dati mobili della vittima vengono deliberatamente bloccati, spesso con la collaborazione di un fornitore di telecomunicazioni.
- La correzione falsa: La vittima riceve un SMS che le chiede di installare un’app di “aggiornamento del telefono” per ripristinare la connessione dati.
- La trappola biometrica: dopo un falso riavvio, il malware falsifica un messaggio di WhatsApp, richiedendo l’autenticazione biometrica (impronta digitale o ID facciale). Una volta che l’utente adempie, lo spyware ottiene l’accesso completo al proprio account WhatsApp registrando un nuovo dispositivo.
- Accesso totale: Una volta installato, Morpheus abusa delle funzionalità di accessibilità di Android, permettendogli di leggere tutto sullo schermo e interagire con altre applicazioni.
Collegare i punti all’IPS
I ricercatori Davide e Giulio hanno collegato Morpheus a IPS, un’azienda italiana con una storia di 30 anni nella tecnologia delle “intercettazioni legali”. Mentre IPS si è tradizionalmente concentrata sull’acquisizione di comunicazioni in tempo reale attraverso i provider di rete, questo rapporto suggerisce che si è estesa allo spyware mobile nascosto, una linea di prodotti precedentemente sconosciuta al pubblico.
La connessione è stata consolidata attraverso prove tecniche:
– Infrastruttura: Uno degli indirizzi IP utilizzati nell’attacco è stato registrato presso “IPS Intelligence Public Security”.
– Impronte digitali: Frammenti di codice all’interno del malware contenevano frasi in italiano, inclusi riferimenti umoristici o culturalmente specifici come “spaghetti” e “Gomorra” (un cenno al famoso film poliziesco napoletano).
Un ecosistema di sorveglianza italiano in crescita
Questa scoperta evidenzia un cambiamento significativo nel mercato globale della sorveglianza. In seguito al collasso e al rebranding dell’Hacking Team, un tempo dominante, è emerso un ecosistema frammentato ma altamente attivo di sviluppatori di spyware italiani.
Il rapporto identifica un elenco crescente di attori locali, tra cui CY4GATE, eSurv, GR Sistemi, Movia, Negg, Raxir, RCS Lab e SIO. Questa proliferazione suggerisce che la domanda di strumenti di sorveglianza tra le forze dell’ordine e le agenzie di intelligence è così elevata da aver dato vita a un’industria specializzata e altamente competitiva.
“Questo tipo di attacco mirato è molto comune al giorno d’oggi”, hanno osservato i ricercatori, suggerendo che la campagna Morpheus era probabilmente mirata ad attivisti politici in Italia.
Perché è importante
Lo spostamento verso lo spyware “a basso costo” è significativo perché abbassa la barriera d’ingresso per la sorveglianza statale. Sebbene gli attacchi “zero-click” siano costosi e difficili da mantenere, l’ingegneria sociale, combinata con la cooperazione dei fornitori di telecomunicazioni, rappresenta un modo altamente efficace e molto più economico per consentire alle autorità di monitorare gli obiettivi. Ciò crea un’enorme vulnerabilità per chiunque sia impegnato nell’attivismo politico o nel giornalismo sensibile.
In sintesi, l’emergere di Morpheus dimostra come gli attori statali si stiano allontanando da costosi exploit tecnici a favore di attacchi ingannevoli e incentrati sull’uomo per aggirare la moderna sicurezza degli smartphone.
