Home » La minaccia degli stalkerware

La minaccia degli stalkerware

On August 15th, an unsavory character was able to obtain complete and total access to everything on my personal cell phone. In just a few minutes, they were able to download all of my pictures and videos. They could read my text messages and emails, and even send whatever they wanted to while pretending to be me. They tracked my location and secretly activated my microphone and camera. They knew where I was at any given moment and where I would be according to my calendar. They had access to my entire life.

Fortunately, I was that unsavory character. And just as fortunately, I was conducting an experiment to demonstrate how easy it can be to weaponize our own phones against us, how hard it can be to detect for even advanced users, and how disastrous it can be if it happens. Turns out, it’s pretty easy.

In May of 2018, security researchers Andrew Blaich and Michael Flossman with the security firm Lookout, discovered a new malware variant that they dubbed Stealth Mango (for Android) and Tangelo (for IOS). These tools were successfully deployed against military and government targets in Pakistan, Afghanistan, India, Iraq, Iran, and the UAE, and spread largely through phishing and compromised websites. The campaign was ultimately able to exfiltrate over 15GB of data, including text messages, contacts, secret recordings, and sensitive military/government communications. The stolen data even included passport scans, ID cards, whiteboards, and meeting/ceremony pictures that included US service members. In other words, it was a treasure trove of information.

While researching the campaign, the researchers make a remarkable discovery: the same team that developed Stealth Mango and Tangelo also made a commercial variant and the code was almost exactly the same. Commercial variants of mobile spyware are often referred to as “stalkerware” or “spouseware”, named after their common usage.

Once upon a time, sophisticated mobile attacks and intelligence operations were the purview of state actors. This is why the government and military doesn’t allow cell phones into certain areas. But now the threat has grown exponentially and the sheer number of potential attack vectors warrant a careful reconsideration of our policies, training, and defensive posture. Today, the threat includes anyone with $60 or so and easily who can follow basic instructions. There are countless variants of this sort of software commercially available, not to mention the multiple homebrew versions. We can start to get some idea of the sheer scope of the problem by analyzing the data leaded from a self-identified employee of one such company, Flexispy.

Flexispy makes and sells this sort of software. They also sell a “white label” version for other companies to resell under their own brand. According to the information provided to motherboard security researchers Lorenzo Franceschi-Bicchierai and Joseph Cox, at least 130,000 people had accounts with the service. Among them, a fifth-grade teacher, the president of a distribution company, the vice-president of a bank and many more. And that’s just one company- there’s many others with their own customer base.

Recently, I went to the website of one such company. Their website lists two primary uses for their brand of stalkerware: to “keep your children safe” and to “monitor your employee’s company phone usage”. Insert additional air quotes liberally. It’s important to note that both of those purposes are technically legal, although there would be certain caveats and provisions that would be the responsibility of the buyer to obey.

As an experiment, I contacted this company with a fictitious back story. I told the sales rep that I thought my “girlfriend” was cheating on me, and I wanted to know if their product could help me spy on her. I expressed concern that she would discover it, and mentioned that it’s her phone on her own account. In other words, I was asking if I could use their software to commit a major crime. The rep assured me that it would work perfectly for this purpose. They offered tips on installing it without the victim discovering it, and they even offered a 10% discount code for my first month.

After I purchased a one-month license (I chose not to take advantage of discounts offered for longer durations), it took about two minutes to infect my phone. After that, I merely had to login to my online dashboard on the company’s website to access everything on my now-infected phone. If I intended harm, I would have had ample means to do it then.

The fictitious story is a realistic one, and includes not only an abusive partner but also burglars, hackers, or anyone else that would benefit from this unprecedented level of access when trying to accomplish their goals our counter our own. It’s an inexpensive and low-risk method of intelligence gathering that can be initiated from anywhere in the world, depending on the technical capabilities of the attacker.

As discussed previously, we already restrict cell phones in specific areas. This is a good thing, and that shouldn’t change. But what could your adversary could do if they manage to infect one or more of your employee’s personal or issued cell phones?

We all know that we’re not supposed to talk about work-related topics while we’re out of the office for lunch, but we feel a little bit safer when we’re alone with our trusted coworkers who are working on the same project. We wouldn’t tell our adversary about network issues and vulnerabilities, but we might do a quick internet search on our phone while trying to fix a router configuration issue. And we work hard to protect information about client arrivals, even though a compromised phone can tell far more than an itinerary can. That’s not to mention the blackmail potential for well-placed employees based on their app usage (for example, a married employee using a dating / hookup app), location history, email receipts, and more. The next time you think about the information you want to protect, think about all the items that could potentially be compromised along with your employee’s phones.

As always, real-world risk should inform policy. But when we’re talking about personal devices and non-work hours, there’s only so much that policy can adequately address. We need to provide our users with the resources and information they need to protect themselves under those conditions. For example, these are some important concepts that can be relayed to your employees in order to help protect them and your critical information:

– Free antivirus apps are able to detect many variants of stalkerware, but are often not installed by default. Installing a third-party antivirus app by a reputable company will help prevent infection in the first place

– Periodically scan through your list of installed apps to look for anything you didn’t install or don’t recognize. Many stalkerware apps don’t actually display an icon, so this may not be enough on its own

– If using an android device, look through the settings for “device administrators.” Any apps listed here have more or less full control of your device. For example, the program that I tested required these privileges in order to function. Also, disable the “install from unknown sources” option to help prevent the surreptitious installation of apps

– The least difficult method of installing stalkerware involves physical access to the device. This allows the attacker to ensure that it’s working properly and their tracks are fully removed. Make sure your device is locked and uses a password, PIN, or some other security feature. Other methods of installation seen in the wild include phishing attacks or luring users to a compromised website, referred to as a “watering hole” attack. Make sure these methods are addressed in your training and awareness program

– Some users choose to root or jailbreak their phone in order to increase functionality or unlock certain features. However, this also increases the options available to the attacker. For example, some attacks against iOS devices simply won’t work unless the device is jailbroken. If your users have rooted or jailbroken their devices, make sure they’re aware of the risks

This was only a very broad overview discussing the scope of the problem and basic remediation measures. We have no choice but to meet this emerging threat head on before it’s too late. Much like our adversaries, we have to adapt to a new, increasingly connected environment where the battle lines are blurry at best and ordinary users are on the front lines of a new kind of war.

La minaccia degli stalkerware

Chris Cox / 6 ottobre 2019

Il 15 agosto, un personaggio poco raccomandabile è stato in grado di ottenere l’accesso totale a tutto ciò che si trovava sul mio telefono cellulare. In pochi minuti, ha scaricato tutte le mie foto e i miei video. Ha potuto leggere i miei messaggi di testo e le mie e-mail, e avrebbe potuto perfino spedire messaggi a chiunque, fingendosi me. Ha individuato la mia posizione, attivando segretamente il mio microfono e la fotocamera. Sapeva dove mi trovavo, in qualsiasi momento, e dove avrei dovuto essere secondo il mio calendario. Aveva accesso alla mia intera vita.

Per fortuna, quel personaggio poco raccomandabile ero io. E di nuovo per fortuna, stavo conducendo un esperimento per dimostrare quant’è facile che il nostro telefono si trasformi in un’arma contro di noi, quant’è difficile capirlo anche per un utente avanzato e quanto disastroso possa essere se avviene. In effetti, è davvero facile.

Nel maggio 2018 i ricercatori di sicurezza Andrew Blaich e Michael Flossman dell’azienda di sicurezza Lookout, hanno scoperto una nuova variante di malware che hanno battezzato Stealth Mango (per Android) e Tangelo (per iOS). Questi strumenti sono stati proficuamente usati contro bersagli militari e governativi in Pakistan, Afghanistan, India, Iraq, Iran e negli Emirati Arabi Uniti, diffondendoli attraverso siti di phishing o compromessi. La campagna d’attacco è stata in grado di sottrarre oltre 15 GB di dati che includevano messaggi di testo, contatti, registrazioni segrete e comunicazioni segrete di tipo militare/governativo. I dati rubati includevano inoltre scansioni di passaporti, carte d’identità, lavagne multimediali e foto di riunioni/cerimonie con funzionari statunitensi. In altre parole, era una montagna d’oro di informazioni.

Mentre conducevano la ricerca sulla campagna d’attacco, i ricercatori hanno fatto una scoperta sensazionale: la stessa squadra che aveva sviluppato Stealth Mango e Tangelo aveva anche creato una variante commerciale, con un codice pressoché identico. Le varianti commerciali degli spyware per dispositivi mobili sono spesso chiamate “stalkerware” o “spouseware”, a causa del loro uso più comune.

Tempo fa, i sofisticati attacchi su dispositivi mobili e le operazioni di intelligence erano prerogativa dello stato. Per questo, il governo e i militari non ammettono telefoni cellulari in alcune aree. Ma ora, la minaccia è cresciuta esponenzialmente e il numero di potenziali vettori d’attacco ci spinge a riconsiderare con attenzione le nostre politiche, gli strumenti di formazione e la posizione di difesa. Oggi, la minaccia è nelle mani di chiunque abbia 60 $ circa e possa seguire delle istruzioni di base. Vi sono innumerevoli varianti di questo tipo di software sul mercato, per non parlare delle multiple versioni casalinghe. Possiamo iniziare a farci un’idea dell’ampiezza del problema analizzando i dati forniti da un dipendente anonimo di una simile azienda, Flexispy.

Flexispy produce e vende questo tipo di software. Commercializza inoltre delle versioni in modalità “white label”, che altre aziende possono rivendere con il proprio marchio. Secondo le informazioni fornite ai ricercatori Lorenzo Franceschi-Bicchierai e Joseph Cox, almeno 130.000 persone hanno creato un account con questo servizio. Fra di loro, un insegnante delle elementari, il presidente di un’azienda di distribuzione, il vicepresidente di una banca e molti altri. E stiamo parlando di una sola azienda, ma ce ne sono molte altre, ciascuna con la propria base di clienti.

Recentemente ho visitato il sito di una di queste aziende. Il sito elenca due usi principali per lo stalkerware che produce: “tenere al sicuro i tuoi figli” e “monitorare l’utilizzo telefonico dei dipendenti della tua azienda”. Potete inserire virgolette aggiuntive a piacere. Si noti come entrambi questi scopi siano tecnicamente legali, anche se ci sarebbero sicuramente cavilli e disposizioni a cui l’acquirente dovrebbe sottostare.

Per fare un esperimento, ho contattato l’azienda con una storia inventata. Ho detto al rappresentante vendite che pensavo che la mia “ragazza” mi tradisse e che volevo sapere se il loro prodotto mi avrebbe aiutato a spiarla. Ho espresso le mie preoccupazioni che lei mi scoprisse, dato che si trattava del suo telefono, collegato al suo conto. In altre parole, stavo chiedendo se il loro software potesse venire utilizzato per commettere un crimine grave. Il rappresentante mi ha assicurato che avrebbe funzionato perfettamente a questo scopo. Mi ha offerto dei consigli su come installarlo senza che la vittima lo scoprisse, proponendomi addirittura un 10% di sconto per il primo mese.

Dopo aver acquistato la licenza da un mese (ho scelto di non avvantaggiarmi dello sconto offerto per periodi più lunghi), ci ho messo circa due minuti a infettare il mio telefono. Dopodiché, ho dovuto solo accedere al mio pannello di controllo online sul sito dell’azienda, per accedere a qualsiasi cosa ci fosse nel mio telefono. Se avessi avuto cattive intenzioni, avrei avuto ampie possibilità di metterle in atto.

La storia fittizia è realistica e include non solo un partner molesto ma anche ladri, hacker o chiunque altro possa beneficiare di questo inaudito livello di accesso, per portare a termine i propri obiettivi o sconfiggere i nostri. È un metodo economico e a basso rischio per raccogliere informazioni, può essere avviato in qualsiasi luogo del mondo, a seconda delle capacità tecniche del malintenzionato.

Come discusso precedentemente, in alcune aree i telefoni sono già vietati. E questo è un bene, ed è meglio che le cose non cambino. Ma cosa potrebbe fare un tuo concorrente, se riuscisse a infettare il telefono personale o di lavoro di un tuo dipendente?

Tutti sappiamo che non dovremmo parlare di argomenti lavorativi quando siamo fuori in pausa pranzo, ma è una cosa naturale quando siamo soli o in compagnia di fidati colleghi che lavorano sullo stesso progetto. Non riferiremmo certo al nostro avversario dei nostri problemi di rete e delle nostre vulnerabilità, ma è possibile che facciamo una veloce ricerca sul telefono per cercare di sistemare un problema di configurazione del router. Ci sforziamo di proteggere al massimo le informazioni sui clienti in arrivo, ma un telefono compromesso può raccontare molto di più di un semplice itinerario. Per non parlare poi del potenziale di ricatto per dipendenti di alto livello, in base al loro utilizzo di app (ad esempio, un dipendente sposato che usa un’app di incontri o appuntamenti), la cronologia delle posizioni, le e-mail e molto altro. La prossima volta che pensate alle informazioni che volete proteggere, pensate a quelle che potrebbero essere compromesse nei telefoni dei vostri dipendenti.

Come sempre i rischi del mondo reale dovrebbero influenzare le politiche. Ma quando si parla di dispositivi personali e di ore di tempo libero, non c’è molto che le politiche possano fare. Dobbiamo dare ai nostri utenti le risorse e le informazioni di cui hanno bisogno per proteggersi in queste condizioni. Ad esempio, ecco alcuni importanti concetti da riferire ai propri dipendenti per proteggerli e proteggere le vostre informazioni sensibili:

– Le app antivirus gratuite sono in grado di rilevare molte varianti degli stalkerware, ma a volte non sono installate di default. Installare un antivirus di un’azienda nota aiuterà a evitare l’infezione

– Effettuare scansioni periodiche delle app installate, cercando eventuali app che non si riconoscono o non si ricorda di avere installato. Molte app di stalkerware non mostrano un’icona, quindi questa azione potrebbe non essere sufficiente

– Se si usa un dispositivo Android, cercare nelle impostazioni gli “amministratori del dispositivo”. Qualsiasi app qui elencata avrebbe più o meno controllo totale sul vostro dispositivo. Ad esempio, il programma che ho testato richiedeva questi privilegi per poter funzionare. Inoltre disattivare l’opzione “installa da sorgenti sconosciute” per evitare l’installazione furtiva di app

– Il metodo più semplice per installare gli stalkerware richiede l’accesso fisico al dispositivo. Questo permette all’aggressore di assicurarsi che funzioni correttamente e che le sue tracce siano state completamente cancellate. Assicuratevi di bloccare il vostro dispositivo con una password o un PIN, oppure con un’altra funzione di sicurezza. Altri metodi di installazione includono attacchi phishing o attirare gli utenti su un sito compromesso, il che viene definito un attacco “watering hole”. Assicuratevi che questi metodi siano affrontati durante il vostro programma di training e consapevolezza

– Alcuni utenti scelgono di effettuare root o jailbreak sul proprio telefono, per aumentarne le funzionalità o sbloccarne delle altre. Tuttavia, questo aumenta anche le opzioni disponibili per i malintenzionati. Ad esempio, alcuni attacchi contro dispositivi iOS non funzionano a meno che il telefono non abbia subito un jailbreak. Se i vostri utenti hanno effettuato root o jailbreak sui propri dispositivi, assicuratevi che siano consapevoli dei rischi

Questa è solo un’ampia panoramica per discutere del problema e delle misure preventive di base. Non abbiamo altra scelta se non quella di affrontare questa emergenza di petto, prima che sia troppo tardi. Proprio come i nostri avversari, anche noi dobbiamo adattarci a un nuovo ambiente sempre più connesso, dove la linea del fronte è sfuocata e gli utenti stessi sono in prima linea in una nuova guerra.

Leave a Reply

Your email address will not be published.