NSO Group torna con un triplo attacco spyware zero-click per iOS 15/16

google spyware
NSO Group non è sparito: il servizio di spionaggio privatizzato è stato attivo nel 2022 con exploit zero-click contro iOS 15 e iOS 16.

Non importa cosa abbia detto il presidente degli Stati Uniti Joseph R. Biden Jr.: NSO Group è ancora in circolazione. Il servizio di spionaggio privatizzato ha prodotto exploit zero-click contro iOS 15 e iOS 16 lo scorso anno, secondo l’ultimo rapporto di Citizen Lab. Il rapporto suggerisce anche che la modalità Lockdown di Apple è efficace contro questi attacchi.

Un trio di exploit utilizzati in forma complessa

Il rapporto riflette ciò che Citizen Lab ha appreso dalle indagini sugli attacchi contro i difensori dei diritti umani messicani. I ricercatori concludono che NSO Group, definito “hacker mercenario” da Apple, ha fatto largo uso di almeno tre exploit zero-click nei sistemi operativi iOS contro obiettivi della società civile in tutto il mondo. NSO Group è la famigerata azienda che ha creato lo strumento Pegasus utilizzato per spiare le persone. L’uso di questi strumenti di sorveglianza in Messico è problematico, data la lunga storia di violazioni dei diritti umani in quel paese.

Gli exploit di Citizen Labs sono stati utilizzati contro i difensori dei diritti umani che rappresentano le famiglie di 43 studenti rapiti, e almeno una persona presa di mira sembra essere stata attaccata con lo spyware di NSO Group in numerose occasioni. La ricerca ha identificato tre attacchi, denominati “PWNYOURHOME”, “FINDMYPW” e “LATENTIMAGE”. Sembra inoltre che il gruppo NSO si stia impegnando in meccanismi di attacco sempre più complessi nel tentativo di sovvertire gli obiettivi della società civile in tutto il mondo.

Ad esempio, PWNYOURHOME è un exploit zero-click in due fasi, in cui ogni fase si rivolge a un processo diverso dell’iPhone. Il primo passo mirava a HomeKit; il secondo a iMessage. I ricercatori di sicurezza hanno condiviso le loro scoperte con Apple e l’azienda ha rilasciato dei miglioramenti critici per la sicurezza di HomeKit in iOS 16.3.1.

I mercenari vogliono nascondersi

La modalità Lockdown sembra fornire una protezione abbastanza efficace contro questi exploit. Citizen Lab afferma che inizialmente i dispositivi in questa modalità ricevevano avvisi se l’hack PWNYOURHOME veniva utilizzato contro il dispositivo, anche se ora non è più così, a dimostrazione della costante lotta al gatto e al topo tra fornitori di piattaforme e gruppi criminali mercenari.

attacco fortinet

I ricercatori avvertono: “Continuiamo a osservare quelli che interpretiamo come sforzi concertati da parte di NSO Group per eludere il rilevamento dei metodi utilizzati dai ricercatori. Ad esempio, a differenza delle versioni precedenti di Pegasus, le versioni distribuite nel 2022 sembrano rimuovere più accuratamente i dati da vari file di log dell’iPhone, nel tentativo apparente di impedire ai ricercatori di comprendere la natura delle vulnerabilità sfruttate per compromettere i telefoni e di eludere il rilevamento”.

Cosa fare per proteggersi

È preoccupante, anche se forse non sorprendente, la misura in cui NSO Group e altri fornitori di servizi di sorveglianza continuino a vedere i loro exploit utilizzati contro i difensori dei diritti umani. È anche preoccupante che il gruppo si stia avvicinando sempre di più verso attacchi multi-step. In risposta, Citizen Lab incoraggia gli sviluppatori a riflettere più a fondo sulla sicurezza dei dispositivi e a “trattare l’intera superficie raggiungibile attraverso un singolo identificatore come un’unica superficie”. Nella tecnologia, proprio come nel mondo reale, nessuno è al sicuro finché non lo sono tutti.

Un’altra raccomandazione è quella di continuare a offuscare i dispositivi per renderli difficili da tracciare e per rendere ancora più difficile per gli aggressori l’esecuzione di codice arbitrario su di essi. “Incoraggiamo caldamente tutti gli utenti a rischio ad attivare la modalità Lockdown sui loro dispositivi Apple. Sebbene la funzione comporti un certo costo in termini di usabilità, riteniamo che tale costo possa essere compensato dall’aumento dei costi sostenuti dagli aggressori”, ha scritto Citizen Lab.

Gli hacker mercenari come NSO Group rimangono un’enorme minaccia per le aziende e la società civile ovunque vengano utilizzati i loro strumenti. Il fatto spiacevole è che alla fine questi strumenti diventano disponibili nel dark web e una volta che lo fanno minacciano tutti gli utenti. È anche vero che Apple sta lavorando duramente per proteggere gli utenti da questi attacchi. Un portavoce di Apple ha promesso: “I nostri team di sicurezza in tutto il mondo continueranno a lavorare senza sosta per far progredire la Modalità Lockdown e rafforzare le protezioni di sicurezza e privacy in iOS”.

Alla luce di ciò, il passo più appropriato è assicurarsi che voi e i vostri colleghi installiate tutte le patch di sicurezza Apple non appena disponibili e che utilizziate la modalità Lockdown, poiché il costo e le conseguenze di un attacco potrebbero superare di gran lunga l’inconveniente. Dopo tutto, il rischio di questi attacchi è che i dati esfiltrati dai dispositivi delle persone possano essere utilizzati per creare vantaggi commerciali sleali e persino causare la perdita di vite umane.

Condividi:
 

Malware in oltre 60 app Android: ecco quelle da cancellare o aggiornare

Il team di ricerca mobile di McAfee ha annunciato di aver trovato più di 60 app Android contenenti un malware di terze parti denominato Goldoson. Ecco cosa fare.

Il team di ricerca mobile di McAfee ha annunciato di aver trovato più di 60 app Android contenenti un malware di terze parti denominato Goldoson. Queste applicazioni infette hanno più di 100 milioni di download confermati nei marketplace ONE e Google Play e la maggior parte di esse è in lingua coreana (alcune sono però molto diffuse anche dalle nostre parti).

Il malware può raccogliere dati sensibili mediante le applicazioni infette installate sul device, non appena questi si connettono tramite Wi-Fi o Bluetooth ad altri dispositivi. Inoltre, è in grado di caricare pagine Web senza che l’utente ne sia consapevole e ciò rende possibile abusare della funzionalità per caricare annunci pubblicitari a scopo di lucro. Il malware Goldoson registra il dispositivo e ottiene le configurazioni remote contemporaneamente all’esecuzione dell’app. Il nome della libreria e il dominio del server remoto variano a seconda dell’applicazione e sono offuscati.

McAfee Mobile Security ha dichiarato di aver segnalato le app scoperte a Google, che ha agito tempestivamente. Google ha infatti notificato agli sviluppatori che le loro app violano le politiche di Google Play e che sono necessarie delle correzioni (ovvero aggiornamenti) per ottenere la conformità. Alcune app sono state rimosse da Google Play mentre altre sono state aggiornate dagli sviluppatori ufficiali. Gli utenti con Android 11 (o superiore) sono più protetti dalle app che tentano di raccogliere tutte le applicazioni installate.

Anche se la libreria dannosa non è stata creata dagli sviluppatori ma da qualcun altro, il rischio per chi installa le app rimane. Pertanto, è importante che tutti gli utenti di device Android che hanno una o più di queste applicazioni sul proprio smartphone le eliminino o le aggiornino, nel caso il relativo sviluppatore abbia già rilasciato l’update.

malware android

Di seguito vi riportiamo l’elenco completo delle app, indicando per ognuna se è stata rimossa dallo store (Removed) o aggiornata dallo sviluppatore (Updated). Il numero seguito da M+ indica invece il numero di download (in milioni) dell’app.

L.POINT with L.PAY 10M+ Updated
Swipe Brick Breaker 10M+ Removed
Money Manager Expense & Budget 10M+ Updated
TMAP 10M+ Updated
Lotte Cinema 10M+ Updated*
Genie Music 10M+ Updated*
Cultureland version 2 5M+ Updated*
GOM Player 5M+ Updated*
Megabox 5M+ Removed**
LIVE Score Real-Time score 5M+ Updated*
Pikicast 5M+ Removed**
Compass 9: Smart Compass 1M+ Removed**
GOM Audio – Music, Sync lyrics 1M+ Updated*
TV – All About Video 1M+ Updated*
Guninday 1M+ Updated*
Item mania1M+ Removed**
LOTTE WORLD Magicpass 1M+ Updated*
Bounce Brick Breaker 1M+ Removed**
InfiniteSlice Infinite Slice 1M+ Removed**
Norae bang 1M+ Updated*
SomNote – Beautiful note app 1M+ Removed**
Korea Subway Info: Metroid 1M+ Updated*
GoodTVBible 1M+ Removed**
Happy Mobile Happy Screen1M+ Updated*
UBhind: Mobile Tracker Manager 1M+ Removed**
Mafu Driving Free 1M+ Removed**
Girl singer WorldCup 500K+ Updated*
FSP Mobile 500K+ Removed**
Audio Recorder 100K+ Removed**
Catmera 100K+ Removed**
Cultureland Plus 100K+ Updated*
Simple Air 100K+ Removed**
Lotteworld Seoul Sky 100K+ Updated*
Snake Ball Lover 100K+ Removed**
Play Geto 100K+ Removed**
Memory Memo 100K+ Removed**
PB Stream 100K+ Removed**
Money Manager (Remove Ads) 100K+ Updated*
Inssaticon – Cute Emoticons 100K+ Removed**
ECloud 100K+ Updated*
SCinema 50K+ Updated*
Ticket Office 50K+ Updated*
Lotteworld Aquarium 50K+ Updated*
Lotteworld Water Park 50K+ Updated*
T map for KT, LGU+ 50K+ Removed**
Random number 50K+ Updated*
AOG Loader 10K+ Removed**
GOM Audio Plus – Music, Sync l 10K+ Updated*
Swipe Brick Breaker 2 10K+ Removed**
Safe Home10K+ Removed**
Chuncheon 10K+ Removed**
Fantaholic 5K+ Removed**
Cinecube 5K+ Updated*
TNT 5K+ Removed**
Bestcare Health 1K+ Removed**
InfinitySolitaire 1K+ Removed**
New Safe 1K+ Removed**
Cashnote 1K+ Removed**
TDI News 1K+ Removed**
Eyesting 500+ Removed**
TingSearch 50+ Removed**
Krieshachu Fantastic 50+ Removed**
Yeonhagoogokka 10+ Removed**

Aziende:
Google
Condividi: