Il Threat Analysis Group di Google ha notato la diffusione di uno spyware conosciuto con il nome di Hermit su una moltitudine di dispositivi Android e iOS. Responsabile di questo spyware sarebbe l’azienda italiana RCS Lab (non ha niente in comune con il gruppo che distribuisce Il Corriere della Sera e La Gazzetta dello Sport), secondo quanto indica il TAG di Google. RCS Lab è un’azienda di attività investigativa che lavora con le autorità giudiziarie e le forze dell’ordine, i corpi speciali e i servizi segreti e di intelligence, come si può leggere sul sito dell’azienda.
“Questi fornitori stanno consentendo la proliferazione di strumenti di hacking pericolosi e armando i governi che non sarebbero in grado di sviluppare tali capacità internamente”, afferma Google nel suo resoconto. Non c’è una posizione ufficiale da parte del governo italiano, ma Apple ha fatto sapere di aver revocato gli account associabili alla campagna di hacking verso cui il TAG di Google punta il dito.
Invece, è arrivata una risposta della stessa RCS Lab, inviata all’agenzia Reuters: “Il personale di RCS Lab non è esposto, né partecipa ad alcuna attività condotta dai clienti dell’azienda”. Non sarebbe certamente il primo caso di spyware messo a disposizione dei governi, dopo che un numero crescente di aziende ha iniziato a sviluppare strumenti di intercettazione per le forze dell’ordine. Molti attivisti, però, denunciano pratiche del genere, soprattutto quando vengono realizzate a favore di governi che reprimono i diritti umani e civili.
Secondo i documenti di Google, RCS Lab si sarebbe servita della collaborazione di alcuni internet provider per bloccare momentaneamente i dati mobile sui dispositivi. Poi veniva inoltrato un SMS con un link per scaricare un’applicazione che avrebbe ripristinato il servizio. In alternativa, veniva mandato un messaggio che avvertiva sulla sospensione degli account social Facebook, WhatsApp o Instagram: seguendo le istruzioni inoltrate si sarebbe potuto sbloccare l’account, anche in questo caso previo il download di un’applicazione.
Quest’ultimo veniva effettuato con una modalità sideload, in quanto l’app, che su Android figurava come una legittima applicazione di Samsung che richiedeva diversi tipi di permessi e l’accesso ai dati personali, non è mai risieduta sugli store ufficiali App Store e Google Play. Una volta ottenute le autorizzazioni del caso, lo spyware poteva accedere ai messaggi e alle password memorizzate sul dispositivo.
L’analisi di Hermit, realizzata anche dalla società di sicurezza Lookout, giunta a risultati molto simili a quelli di Google, ha mostrato che lo spyware può essere impiegato per ottenere il controllo degli smartphone, registrare audio, reindirizzare le chiamate e raccogliere dati come contatti, messaggi, foto e posizioni. Secondo questi studi, Hermit sarebbe stato utilizzato soprattutto in Siria, in una regione popolata prevalentemente da curdi. Non c’è al momento alcuna notizia relativamente a presunti legami tra l’esecutivo siriano e quello italiano su questa operazione.
I ricercatori di Google hanno scoperto che RCS Lab ha precedentemente collaborato con la controversa e defunta società di spionaggio italiana Hacking Team, anch’essa accusata di aver creato software di sorveglianza per consentire ai governi di accedere a telefoni e computer personali.
Google ha affermato di aver avvertito gli utenti Android presi di mira dallo spyware e di aver potenziato le difese del software. Anche Apple ha adottato contromisure simili.