Cos’è uno spyware e come funziona il più potente Pegasus?

SmartWorld team

Si chiama Pegasus ed è lo spyware utilizzato per lo spionaggio ai danni di politici, giornalisti, manager e non solo. L’inchiesta è partita delle ONG Forbidden Stories di Parigi e Amnesty International ed ha portato a un elenco di oltre 50 mila personalità coinvolte, che diversi governi tenevano sotto stretto controllo grazie proprio allo spyware progettato da una società israeliana. Ma che cos’è uno spyware, e Pegasus come funziona? Scopriamolo insieme.

Cos’è Pegasus

Pegasus è stato sviluppato dall’azienda israeliana NSO e può essere installato in modo totalmente trasparente sia su dispositivi iOS che Android. Alla base di Pegasus troviamo metodologie di installazione che lasciano pochissime tracce, nel caso di iPhone, e quasi nulle per i dispositivi con il sistema operativo di Google.

Scoperto per la prima volta nel 2016 a seguito di un tentativo di installazione non riuscito ai danni di un’attività, negli anni Pegasus si è diffuso a macchia d’olio. Lo spyware in questione è capace di estrapolare dal telefono della vittima messaggi, anche quelli di app di messaggistica come WhatsApp e Telegram, tracciare le chiamate e la posizione della vittima, accedere a microfono e fotocamera, oltre a catturare tutti i dati di accesso, password incluse.

Leggi anche: smartphone spiati dallo spyware Pegasus

A detta di NSO Group, Pegasus viene ceduto ai clienti senza la possibilità per l’azienda di gestire le singole licenze e, di fatto, non avere elementi di intelligence per sapere quali siano le attività svolte con lo spyware. Tra i clienti, secondo quanto comunicato da NSO, vi sono solamente militari, forze dell’ordine e agenzie di intelligence di paesi in cui vengono rispetti i diritti umani. Tuttavia, Amnesty sottolinea che le affermazioni di NSO non sono credibili soprattutto alla luce delle oltre 50 mila persone, tra cui politici, giornalisti e attivisti, monitorate quotidianamente.

Cos’è uno spyware

Uno spyware è una tipologia di software malevoli, denominato anche malware, che hanno come obiettivo quello di raccogliere il maggior numero di informazioni contenute su PC, smartphone, tablet o qualsiasi altro dispositivo tecnologico. Rispetto alle classiche tecniche di attacco diretto, lo spyware tende a sfruttare lacune a livello di sicurezza del dispositivo target.

Negli ultimi anni, molte agenzie di intelligence stanno adottando queste moderne tipologie di spyware. Tuttavia, nel caso in cui questi software finiscano nelle mani sbagliate, possono anche portare all’attivazione di processi di sorveglianza verso potenziali nemici, oppositori o persone scomode ai regimi dittatoriali.

Come avviene l’attacco

Per quanto riguarda la metodologia di attacco, gli spyware vengono installati sui dispositivi, tradizionalmente, sotto forma di link ricevuto via SMS, email, WhatsApp o social media. Molto spesso sono messaggi alquanto sospetti che vengono cestinati automaticamente dalle applicazioni, ma alcune volte riescono a superare tutti i controlli automatizzati.

Nel caso di Pegasus, tuttavia, la superficie di attacco era data anche da alcune problematiche derivanti da falle zero day e zero click. Basti pensare che anche gli iPhone 12 aggiornati alla più recente versione di iOS 14.6 potevano essere considerati dispositivi target per l’attacco.

In particolare, in iOS veniva sfruttata una falla zero click, ovvero quella delle anteprime che non richiedeva l’interazione da parte dell’utente, in modo da risultare totalmente invisibile.

L’utente bersaglio riceveva un messaggio su iMessage o FaceTime ed era sufficiente che il telefono aprisse l’anteprima per installare il pacchetto dello spyware, andando così a superare tutti i meccanismi di sicurezza tra cui la crittografia end-to-end integrata. Questa falla è certificata anche dal fatto che la maggior parte degli obiettivi colpiti da Pegasus usava un iPhone.

Non solo, la presenza della crittografia end-to-end all’interno delle app di messaggistica ha reso possibile che l’attacco fosse nascosto in quanto nessun sistema avrebbe potuto analizzare ed eventualmente bloccare il contenuto del messaggio inviato.

Pertanto, l’unico modo in cui è stata scoperta la presenza del malware Pegasus è stato grazie ai log di sistema che memorizzano tutto ciò che succede all’interno del dispositivo Apple. Nel caso di Android, invece, gli attacchi in alcuni casi hanno lasciato alcune tracce, mentre in altri casi no.

Come funziona uno spyware come Pegasus?

Uno spyware moderno come Pegasus è capace di attaccare qualsiasi dispositivo e permettere di svolgere attività da remoto come l’acquisizione di SMS, email, chat WhatsApp e di altre app di messaggistica, foto e video, dati del GPS, calendari e rubriche. Oltre a tutto ciò, Pegasus riesce anche a registrare anche le chiamate, attivare la fotocamera e il microfono, sottrarre password, username, documenti e molto altro ancora, il tutto in modo totalmente invisibile agli occhi dell’utente.

Di fatto, gli spyware di ultima generazione possono assumere il controllo dei dispositivi senza modificarne il funzionamento. Solamente attraverso un’analisi accurata da parte di un perito forense è possibile comprendere se si sia subito o meno un attacco da spyware.