En forskning av en icke-statlig organisation som specialiserat sig på försvar av privatlivet tar bort slöjan från en italiensk skadlig kod som är utformad för att spionera på och avlyssna Android-användare
Det finns ett Android-virus som tillverkats i Italien som körs på Play Store: det heter Exodus och finns i ett 20-tal infekterade appar som redan har laddats ner och använts av ett tusental personer. Den sägs ha tillverkats av det Catanzaro-baserade företaget eSurf, som är specialiserat på övervakningssystem och som tidigare har haft kontrakt med italienska brottsbekämpande myndigheter.
Detta framgår av en rapport från den icke-statliga organisationen Security Without Borders, som specialiserat sig på cyberattacker och skydd av den personliga integriteten för aktivister för mänskliga, politiska och sociala rättigheter, i samarbete med tidningen Motherboard.
Vad Exodus gör, skadlig kod som avlyssnar italienare
Den icke-statliga organisationens fördjupade rapport visar att huvudsyftet med skadlig kod Exodus är att samla in information om användaren av den infekterade smarttelefonen. Den skadliga koden kan i själva verket dra in lite av varje: Lista över installerade program, omgivande ljud som spelats in med telefonens mikrofon, webbläsarhistorik och bokmärken från Chrome och SBrowser (webbläsaren på Samsung-telefoner), kalenderhändelser, samtalsloggar, spela in telefonsamtal, ta foton med kameran, information om telefonceller, extrahera adressboken, listan över Facebook-kontakter, loggar från Messenger-konversationer, ta skärmdumpar av alla applikationer, hämta bildinformation från Gallery, hämta information från Gmail, kontakter och meddelanden från Skype-appen, återskapa alla SMS-meddelanden och meddelanden och krypteringsnyckeln från Telegram, Viber Messenger-data och loggar från WhatsApp, men också återskapa filer som utbytts med WhatsApp, lösenordet för det Wi-Fi-nätverk du är ansluten till, WeChat-data och till och med telefonens GPS-koordinater.
Vilka appar är infekterade av Exodus
Det skadliga programmet Exodus har vaccinerats i minst tjugo appar, alla italienska och på italienska, som regelbundet laddas upp till Play Store och vars filter inte har upptäckt något hot mot användaren. Bufale.net har gjort en första kartläggning av dessa tio appar som definitivt är infekterade: Line Assistance, Special Offers, Personalised Phone Offers, Premium Phone Services, Offers for You, Reactivate Line Assistance, Operator Italy, Promo Offers, SIM Assistance och Phone Offers for You. Viruset har funnits sedan åtminstone 2016, så det är möjligt att det finns andra infekterade appar som ännu inte har upptäckts. Google har enligt uppgift redan tagit bort alla infekterade appar från sin butik.
Hur Exodus-viruset fungerar
Infektionen med Exodus börjar med att man laddar ner och installerar en av de infekterade apparna. Viruset har två steg, "Exodus 1" och "Exodus 2", där det första steget har till uppgift att läsa mobiltelefonens IMEI-kod och överföra den till Command & Control-servern. Detta beteende skulle kunna tyda på att det är ett skadligt program som är programmerat för att spionera på ett visst antal användare, ett scenario som är förenligt med polisens avlyssning.
Men i själva verket har Säkerhet utan gränser upptäckt att även om IMEI:n som skickats är den för en ny, engångsmobiltelefon, som aktiverats enbart i testsyfte, aktiveras Exodus fortfarande genom att ladda ner det andra Exodus 2-paketet, som innehåller det egentliga viruset som börjar spåra vårt beteende. En av de allvarliga riskerna med Exodus är att den, antingen avsiktligt eller genom felaktig programmering, lämnar flera portar öppna och gör smarttelefonen sårbar för alla som är anslutna till samma Wi-Fi-nätverk och (kanske) till och med till samma mobiloperatör.
Varför påverkar Exodus även vanliga användare?
Under de senaste timmarna har det uppstått en hetsig debatt om viruset: om det är sant, vilket alla tecken tyder på, att det är ett virus som skapats för att utföra djupgående miljöavlyssning, varför har det då lagts in i appar som kan laddas ner fritt av alla från Googles officiella butik? Den mest spridda hypotesen är också den minst betryggande: den lades ut på Play Store för att kunna testas innan den användes i officiella utredningar. Under de senaste timmarna har Garante della Privacy, Antonello Soro, kommenterat saken: "Nyheten om att hundratals medborgare som inte har något samband med rättsliga utredningar har avlyssnats på grund av ett enkelt fel i driften av en dator som används för utredningsändamål är mycket oroande och kommer att bli föremål för en vederbörlig utredning, även av Garante, inom ramen för dess befogenheter.
Hur man försvarar sig mot Exodus-viruset
Om du har laddat ner en av de infekterade apparna tidigare är det nästan säkert att din smartphone är infekterad och att Exodus samlar in en stor mängd data om dig. För att ta bort viruset måste du använda ett bra antivirusprogram som är uppdaterat med den senaste versionen. Problemet är dock att det är först nyligen som det har blivit känt att denna skadlig kod existerar, så det är inte säkert att de mest populära antivirusprogrammen kommer att kunna upptäcka Exodus.