Passa ai contenuti principali

Trojan di Stato o captatori informatici installati a distanza. Come funzionano?

Dopo il caso Palamara del 2019 sono sorte curiosità sui Trojan di Stato (detti anche 'captatori informatici') introdotti dal DL 216/2017. In particolare ci si chiede se siano davvero installabili a distanza in un cellulare senza che l'utente se ne accorga.

In questo blog parleremo di Trojan professionali per gli enti di intelligence, quindi nulla a che vedere con le App Spyphone acquistabili online. Si tratta di soluzioni molto sofisticate che vengono impiegate quando ci sono interessi miliardari, questioni di sicurezza nazionale o ipotesi di gravi reati.

Il primo passo per tentare l'inoculazione di un Trojan a distanza consiste nell'identificazione e nello studio del cellulare target per individuare delle vulnerabilità, cioè delle falle nella sicurezza del sistema operativo del cellulare (o delle App installate nel cellulare) che siamo sfruttabili allo scopo.

Quasi in disuso sono invece le tecniche di 'social engineering' (dette anche 'tre click'), cioè instaurare contatti a distanza con la vittima per convincerla ad installare una App apparentemente innocua nel suo cellulare. In questo caso la vittima deve fornire delle conferme all'installazione. Ma l'accresciuta consapevolezza sui rischi informatici e le ripetute segnalazioni dei sistemi operativi quando si installano delle App hanno reso molto improbabile che qualcuno cada in nel tranello.

I vettori privilegiati (ma non unici) per l'inoculazione a distanza dei Trojan sono le vulnerabilità di categoria 'overflow'. Più avanti vedremo meglio cosa sono. Ad es. un prodotto molto professionale che può essere inoculato a distanza sfruttando queste vulnerabilità è il 'Pegasus NSO' nelle sue numerose varianti. Pegasus nasce in Israele da ex tecnici del Mossad e viene usato da varie organizzazioni mondiali di intelligence soprattutto per l'antiterrorismo e la sicurezza nazionale. Nel 2025 è balzato agli onori delle cronache anche il Trojan professionale 'Graphite', inoculato a nei cellulari di alcuni giornalisti e attivisti di spicco nel settore dell'immigrazione. Così come Pegasus, anche Graphite è inoculabile a distanza con tecnica 'zero click', detta anche modalità silente. Va detto che in molti casi non è una tecnica davvero silente perché l'utente riceve una chiamata o una videochiamata, oppure apre un video, un'immagine o un link apparentemente innocui. Questo consente agli attacker di stabilire un canale di contatto con il cellulare (detto 'Socket') per installare una App spia sfruttando determinate vulnerabilità. Tuttavia l'utente non nota nessuna installazione e nessuna anomalia, non riceve nessuna notifica dal sistema operativo e non deve fornire nessun permesso all'applicativo indesiderato.

Ecco come si presenta concretamente un attacco Pegasus NSO. In questo caso gli attacker hanno scelto di aprire un canale di contatto con il cellulare inviando dei banali SMS con link all'attivista saudita per i diritti umani Ahmed Mansoor. L'attivista viene invitato a leggere un articolo su argomenti che lo interessano. In realtà, se il link fosse stato cliccato dal Sig. Ahmed, sarebbe partita anche l'installazione nascosta del Trojan Pegasus mediante il download in background di decine di piccoli file GIF che sarebbero stati gestiti dal sistema operativo del cellulare come allegati all'SMS. L'attivista si è insospettito, non ha cliccato il link e lo ha fatto esaminare da una società statunitense specializzata in cyber security. Anche in questo caso emerge l'importanza della prima forma di difesa che da sempre ribadiamo nelle pagine di questo blog: la conoscenza dei rischi e la consapevolezza.

Per sfatare il falso mito dell'insicurezza di Android va detto che negli ultimi anni ci sono state vulnerabilità sia nei sistemi operativi IOS che nei sistemi operativi Android. Ad esempio alcuni Trojan recenti hanno sfruttato le vulnerabilità dell'iMessage di Apple.

Da anni uno dei principali punti di riferimento per tentare inoculazioni a distanza è WhatsApp, grazie alla sua estrema diffusione e al suo ampio ventaglio di vulnerabilità. 

Ad esempio nel 2020 sono stati identificati 5 nuovi bug di WhatsApp: i CVE 1886 1889 1890 1891 e 1894. Un paio di questi potevano prestarsi anche all'inoculazione 'zero click' dei Trojan. Oppure a semplici controlli nascosti come la posizione GPS realtime del cellulare.

Conviene diffidare del sensazionalismo mediatico dopo il caso del trojan di Stato nel cellulare del magistrato Palamara: online girano dei video della RAI e delle Iene dove sembra che installare un Trojan a distanza in un cellulare sia una banale prassi. Ovviamente si tratta di dimostrazioni con finalità sensazionalistiche. Nella realtà non c'è assolutamente nulla di così banale e tutto ciò è possibile solo con sofisticati e costosi strumenti riservati agli enti di intelligence, che devono essere gestiti da informatici specializzati nel cyber attack. Ma soprattutto è possibile solo quando nel cellulare target ci sono vulnerabilità sfruttabili come vettori di inoculazione. Diversamente anche le più importanti agenzie mondiali di intelligence devono entrare in possesso fisico del cellulare per effettuare l'installazione (questa attività viene definita 'inoculazione locale'). E se il cellulare è protetto da password sconosciuta, l'inoculazione locale diviene pressochè impossibile. Guardate ad es. questo articolo, che spiega cosa ha dovuto fare l'FBI americana nel 2016 per riuscire a rimuovere la password blocca schermo di un Iphone5. Come ultima spiaggia a volte possono essere tentate anche delle complesse inoculazioni MitM Man-in-the-Middle (a breve distanza fisica dal cellulare, es. via rete WiFi), ma dagli esiti incerti e spesso improbabili.

Prima di proseguire apriamo una parentesi con un importante avvertimento per i nostri lettori: nel Web è facile trovare dei siti che promettono di installare App SpyPhone e Trojan a distanza. Raccomandiamo di diffidare di queste promesse. Oggigiorno un sfavillante sito internet può essere creato in meno di due ore. E i feedback positivi possono essere falsificati facilmente, acquistandoli a pochi euro presso attività illecite specializzate.

Spesso le vulnerabilità di sistemi operativi e App vengono pubblicizzate nella comunità hacker internazionale, quindi vengono corrette dagli sviluppatori. Ma non è sempre così. Esiste un segretissimo mercato nel dark-web dove alcuni hacker mettono in vendita le vulnerabilità che hanno scoperto a cifre oscillanti fra 40000 euro e un milione di euro. Il pagamento avviene in criptovalute. Sono le cosidette vulnerabilità 'Zeroday'. Chi acquista uno 'Zeroday' acquista anche il silenzio dell'hacker sulla sua scoperta. Quindi la vulnerabilità potrebbe restare sconosciuta e sfruttabile per anni. Se invece la vulnerabilità viene pubblicizzata, la correzione da parte degli sviluppatori dei sistemi operativi e  delle App avviene spesso con tempistiche dilatate. Ad es. il clamoroso CVE3568 di WhatsApp (buffer overflow con una chiamata vocale) è stato corretto solo a fine 2019. Questo nonostante se ne sia parlato per mesi. Significa che nel 2019-2020 (forse anche prima) centinaia di milioni di cellulari sono stati potenzialmente vulnerabili a inoculazioni di categoria overflow basate sul bug CVE3568. A conferma del fatto che WhatsApp non è diventato sicuro neppure dopo l'acquisizione da parte di Meta, sono emerse nel 2022 due nuove vulnerabilità critiche: le CVE 27492 e 36934.

Ma come si sfruttano queste vulnerabilità? Il principale (ma non unico) sistema pare essere l'overflow. Senza voler banalizzare un'attività estremamente complessa come il cyber attack, è cosa nota anche a programmatori alle prime armi che i buffer overflow e gli stack overflow opportunamente gestiti possono consentire l'esecuzione di codici malevoli sulla device attaccata. Nella sostanza ci riferiamo all'immissione in una stringa di un numero di bytes maggiore dell'array del buffer che deve contenerla.

Esempio in linguaggio C:
void leggostringatest(void) {
long num = 0;
char buff[6];
gets(buff);
}

In sintesi se 'gets' raccoglie un numero di bytes maggiore della capienza di 'buff[6]' e se l'overflow (cioè i bytes in eccesso oltre il sesto) contiene un codice correttamente allocabile ed eseguibile, potrebbe nascere il problema. Logica vorrebbe che tutto ciò che eccede i 6 bytes venga scartato causa mancata capienza. In realtà viene trasmesso al processore del cellulare come fosse una normale routine della App. Ipotizziamo ad es. che lo script arbitrario contenga un 'requestLocationUpdates' per leggere la posizione GPS del cellulare e inviarla all'IP di un determinato server: la CPU del cellulare prende in carico il codice e lo esegue. Quindi l'attacker riceve le coordinate GPS del cellulare.

Ovviamente non è tutto così facile. Si tratta di attività molto complesse. Qui abbiamo solo voluto rappresentare il fatto che sono attività possibili. Ma certamente non sono attività alla portata di tutti, non sono un rischio per tutti e non hanno nulla a che vedere con le App SpyPhone acquistabili online.


Servizi tecnici e difesa elettronica. Vedi...


I post più letti...

Cosa possono fare le agenzie investigative in Italia?

Secondo il portale del Diritto La legge per tutti : "Un investigatore privato può compiere tutte quelle attività che sarebbero lecite anche se fossero compiute da un normale cittadino". Un'ulteriore conferma giunge dal noto studio legale Gobbi & Partners : 'Un investigatore privato può esercitare la professione entro gli stessi limiti che ha il privato cittadino'. Così come un normale cittadino, anche un investigatore privato non può perquisire persone e luoghi, intercettare comunicazioni riservate, acquisire dati coperti da privacy, accedere ad ambienti privati senza il consenso del titolare del luogo. Mentre può pedinare e appostarsi in luogo pubblico, scattare foto in luogo pubblico, raccogliere informazioni da banche dati pubbliche, accedere ad ambienti privati con il consenso del titolare del luogo. Quindi quali sono le differenze giuridiche fra un investigatore privato e un normale cittadino? L'investigatore privato, in virtù della licenza rilasciata...

Cosa sta succedendo alla vecchia rete GSM 900/1800?

La Svizzera ha spento le reti 2G GSM . Altre nazioni europee, fra cui la Francia, hanno intenzione di spegnerle a breve. Qual'è la situazione in Italia? La nostra nazione al momento risulta in controtendenza. Il MISE (Ministero dello Sviluppo Economico) su sollecitazione dell'autorità per le telecomunicazioni AGCOM ha prorogato le licenze per lo spettro radio GSM fino a dicembre 2029. L'AGCOM ha inoltre esortato gli operatori telefonici a mantenere in vita il GSM perchè di rilevante interesse strategico.  Nella consultazione pubblica AGCOM 176/20/CONS gli operatori hanno preso atto della necessità di mantenere in vita il GSM. Ma come è possibile che una rete con 33 anni di vita sia ancora così strategica?  Secondo AGCOM a  settembre 2020 in Italia c'erano 26,3 milioni di SIM card attive in contatori luce/gas, centraline meteo, sistemi salvalavita, POS, sistemi IoT industriali, sistemi telemetrici e logistici, localizzatori satellitari, sistemi di sicurezza, r...

Sicurezza e privacy cellulari contro lo spionaggio.

Il controllo nascosto dei cellulari non avviene solo tramite le App Spyphone .  In sintesi le App SpyPhone sono dei software acquistabili in internet che consentono il controllo a distanza delle attività svolte con il cellulare. Per installarle bisogna conoscere la password del cellulare e bisogna disporre fisicamente del cellulare. Le App SpyPhone h anno buone possibilità di restare nascoste all'utente comune, cioè a chi usa il cellulare per chiamate, messaggistica, internet e poco altro. Mentre possono essere scoperte da utenti più esperti. Sono infatti strumenti  piuttosto invasivi  negli ecosistemi dei cellulari. Per quanto riguarda iPhone, dopo IoS 13 Apple è riuscita a limitare la possibilità di installare le App Spyphone nei suoi cellulari. Al punto che i controlli si sono spostati sui dati che i prodotti Apple archiviano nell'iCloud (controlli possibili solo se l'utente non protegge adeguatamente il suo AppleID). Va detto inoltre che queste App a volte veng...

La funzione Geofence dei localizzatori satellitari GPS.

Il Geofence è una funzione poco utilizzata dei sistemi di localizzazione satellitare GPS, ma davvero utile e potente. Il Geofence, detto anche 'recinto virtuale' o 'area protetta' , consente di creare un confine virtuale che delimita un'area geografica. E' una funzione offerta dalle piattaforme WEB per il tracking satellitare GPS. Lo scopo del geofencing è definire un'area di particolare interesse per ricevere un avviso appena un veicolo dotato di localizzatore satellitare entra o esce da quell'area. Con alcuni esempi pratici possiamo  chiarire meglio il funzionamento e l'utilità del geofencing Esempio 1  Mario è dipendente di un'azienda che gli ha affidato un furgone attrezzato per fare assistenze tecniche.   Ma l'azienda sospetta che Mario a volte si rechi in determinate zone per fare assistenze non dichiarate. In questo caso è possibile creare delle aree Geofence sulle zone sospette. Impostando gli avvisi di ingresso nelle aree, l'...

Doppio localizzatore GPS: una soluzione antifurto efficace.

Recentemente la cronaca ha riferito di un'azienda napoletana che ha subito il furto di decine di costosissimi macchinari, nonostante fossero dotati di antifurto satellitari GPS. PERCHE' GLI ANTIFURTO SATELLITARI FALLISCONO? Anche il ladro più sprovveduto sa che prima di rubare un veicolo o un macchinario deve accendere un jammer. Il jammer è un apparato elettronico portatile che non richiede conoscenze tecniche: basta accenderlo e da quel momento qualsiasi antifurto satellitare che si trovi entro un raggio di 10-15 metri non può più trasmettere allarmi e posizioni. In alcuni casi l'antifurto riesce comunque ad attivare la sirena di allarme perchè riconosce le onde radio interferenti emesse dal jammer. Ma l'affidabilità di questa funzione, detta 'anti-jammer' , è variabile soprattutto nei veicoli dotati di sistemi 'keyless' o nel caso in cui il telecomando per l'apertura delle portiere sia stato clonato. Inoltre la sfrontatezza dei ladri è arrivata ...

L'intelligenza artificiale per la pulizia digitale delle registrazioni audio.

Abbiamo testato un software che ricorre all'AI (intelligenza artificiale) per migliorare l'ascolto delle voci umane nelle registrazioni audio compromesse da suoni e rumori. I primi test sono interessanti. Al momento l'AI non offre risultati vistosamente superiori rispetto a quelli che già si possono ottenere con i software professionali per l'elaborazione digitale dell'audio. Ma consente di ottenere una buona base per successive elaborazioni, riducendo quelle lunghe fasi di analisi e tentativi che chi fa audio editing ben conosce. La richiesta di questi servizi è frequente soprattutto da parte di privati che hanno fatto delle registrazioni con cellulari o registratori chiusi dentro borse, zaini, cassetti, cruscotti, tasche, scatole e altre situazioni. In queste situazioni le voci sono spesso presenti ma il parlato è scarsamente comprensibile. Abbiamo messo alla prova il nuovo software simulando una delle peggiori condizioni acustiche in assoluto: un microregistrato...

Cosa sono i logger satellitari GPS e perchè possono essere una valida alternativa ai localizzatori satellitari.

I logger satellitari GPS registrano nella loro memoria interna gli spostamenti del veicolo sul quale sono posizionati. Per vedere spostamenti e luoghi delle soste bisogna recuperare il logger e bisogna caricare i dati che ha memorizzato nel famoso software Google Earth. I dati sono costituiti da centinaia o migliaia di co ordinate satellitari GPS con data e ora. Quindi un logger satellitare non trasmette nulla in diretta e funziona in maniera simile ad un registratore. I logger satellitari sono considerati soluzioni obsolete. In realtà offrono importanti vantaggi rispetto ai localizzatori satellitari GPS/GSM: 1) Hanno più autonomia e minori dimensioni rispetto ai localizzatori satellitari GPS/GSM perchè sono privi di modulo radio di telefonia mobile. Un logger satellitare con dimensioni di poco superiori ad un accendino può raggiungere i 2 mesi di autonomia in utilizzo quotidiano. 2) Il funzionamento dei logger satellitari non dipende da Internet, segnali e coperture di telefonia mo...

Come utilizzare le App per Android su PC Windows.

Capita sempre più frequentemente che le App per controllare telecamere, localizzatori satellitari e tanti altri apparati siano disponibili solo per cellulari e tablet. Questo è dovuto al fatto che il traffico mondiale internet generato da PC fissi e portatili è in calo da anni. Mentre il traffico generato da cellulari e tablet ha superato il 60% del totale e continua a crescere. In pratica gli utenti preferiscono l'internet mobile e i produttori si adeguano. Ad esempio Tuya , la App n. 1 al mondo per il controllo remoto di apparati per domotica, IoT, telecomunicazioni, videosorveglianza e dispositivi Zigbee, dichiara di non avere una versione per Windows e di non avere neppure intenzione di svilupparla. Ma a volte i clienti, soprattutto quelli aziendali, vorrebbero controllare i sistemi IoT, le telecamere, i telecontrolli industriali, i localizzatori satellitari, ecc. tramite PC Windows e non tramite cellulari o tablet. Oggi vogliamo parlarvi di una semplice soluzione per utilizza...

E' possibile controllare Telegram?

Dopo il blog ' Il trucco spy di WhatsApp Web è stato archiviato troppo presto? ' vediamo la situazione per Telegram. Sempre più frequentemente Telegram viene preferito a WhatsApp per la maggiore attenzione alla riservatezza, per la quantità di funzioni, per il fatto che è possibile chattare con qualcuno senza svelare il proprio numero telefonico e per  l'autodistruzione dei messaggi. E' possibile  controllare Telegram? 1. Così come per  WhatsApp Web , anche per Telegram bisogna impossessarsi per qualche istante del cellulare da controllare e bisogna aprire Telegram. E' necessario che Telegram non abbia delle protezioni aggiuntive e facoltative (es. 'Verifica in due passaggi'  o  'Codice di blocco' , gestibili nel menù 'Impostazioni' > 'Privacy e Sicurezza' ). 2. Per prima cosa va fatta una semplice preparazione su PC fisso o portatile Windows. Entrare nel sito 'PortableApps.com' e scaricare su qualsiasi chiavetta di memor...