Image: migs77jacobo/Flickr
Un gruppo di cacciatori di malware ha appena scoperto un nuovo spyware per Android. Lo spyware, concepito per i governi e le forze di polizia, è stato creato in Italia—ma non dalla famosa azienda di sorveglianza Hacking Team.Lunedì, un gruppo di ricercatori ha pubblicato un rapporto su un nuovo tipo di malware per Android progettato per rubare audio, video, dati e immagini dal telefono, attivare o disattivare il GPS, oltre a una serie di altre funzioni—di routine, noiose, da spyware commerciale spazzatura," come le ha definite uno dei ricercatori nel rapporto.Notevole è il fatto che i ricercatori sostengano che lo spyware abbia infettato un personaggio che lavora per un governo, oltre a sospettare che sia stato prodotto da Hacking Team. Ma in realtà, è probabilmente frutto di un'altra società italiana, ancora non molto nota al pubblico.Il primo sospettato è una piccola startup con sede a Napoli, chiamata Raxir. Lo spyware, infatti, comunica con un commandoand contro server che utilizza un certificato digitale SSL contenente al suo interno la stringa Raxir.Raxir è una società di sorveglianza con sede nella "Citta della Scienza" di Napoli, l'incubatore di startup tech. Secondo la pagina della società presente sul sito web del incubatore, Raxir è stata fondata nel 2013 e produce sistemi software per supportare le inchieste giudiziarie e di intelligence. La società dichiara di avere clienti nel governo e nelle forze dell'ordine, e che l'uso del suo software è "riservato" a loro, "al momento" solo in Italia. (Raxir non ha risposto alla nostra richiesta di commento inviata al suo indirizzo mail pubblico.)
Pubblicità
Due ex dipendenti di Hacking Team che hanno esaminato il rapporto per Motherboard sono certi che il malware non sia stato creato dalla loro ex società."Il campione non ha nulla a che fare con Hacking Team," ci ha dichiarato un'altra fonte, un ricercatore di sicurezza esperto nell'analisi dei malware della società italiana, che vuole restare anonimo. "È strutturalmente differente da quelli attribuiti a Hacking Team e non condivide nessuna parte del codice."Anche Bill Marczak, ricercatore presso Citizen Lab, che sorveglia i diritti digitali presso la Munk School of Global Affairs dell'Università di Toronto, concorda sul fatto che quasi certamente questo campione non proviene da Hacking Team. Marczak ha scritto in una chat online che l'infrastruttura del spyware non è connessa all'Hacking Team, che monitora da mesi.Marczak ha anche scovato le tracce di Raxir su internet, trovando un altro server, il cui certificato digitale contiene la stringa: "ProcuraNapoliRaxirSrv." Presumibilmente, l'ufficio del pubblico ministero di Napoli è uno dei clienti di Raxir.Tim Strazzere, il ricercatore indipendente che ha analizzato il malware, non può rivelare chi si stato preso di mira dal programma, ma, di sicuro, la persona in questione lavora per un governo ed è in corso un'indagine penale sull'incidente.A più di un anno dall'attacco devastante condotto contro Hacking Team, che ha diffuso praticamente tutte le email interne della società, così come il codice sorgente dei suoi strumenti, spuntano fuori una serie di nuove società che cercano di colmare il vuoto lasciato da essa. Raxir è solo un'altra di queste—e proprio come l'Hacking Team o un'altra società poco nota denominata RCS Lab—ha sede in Italia. A questo punto, per dirla come ha twittato scherzosamente un ricercatore di sicurezza italiano, possiamo affermare: "Italia: spaghetti, pizza, e Spyware.""Il sample non ha nulla a che fare con Hacking Team."