Il governo della Serbia starebbe sfruttando alcune vulnerabilità per sbloccare e infettare smartphone Android con un nuovo spyware, denominato NoviSpy. Verrebbe a quanto pare utilizzato per spiare giornalisti, attivisti e non solo. Vediamo cosa è emerso grazie all’analisi del Security Lab di Amnesty International.

NoviSpy installato sugli smartphone Android di giornalisti e attivisti serbi

Lo spyware NoviSpy sarebbe distribuito dalle autorità serbe ed è stato scovato proprio dal Security Lab di Amnesty International dopo l’analisi dello smartphone di un giornalista. In base a quanto riportato sfrutterebbe vulnerabilità zero-day di Qualcomm: tra queste CVE-2024-43047, vulnerabilità corretta su Android nel mese di novembre 2024.

Nel febbraio 2024 il giornalista indipendente Slaviša Milanov è stato fermato dalla polizia con il pretesto di un controllo del tasso alcolemico. Portato in questura, gli è stato ordinato di consegnare lo smartphone prima dell’inizio dell’interrogatorio da parte di agenti in borghese. Già insospettito da questa fantomatica guida in stato di ebbrezza (da astemio), i dubbi sono aumentati quando si è accorto che lo smartphone restituitogli era stato manomesso: i dati erano scomparsi, e lui non aveva fornito alcun codice di sblocco.

Il giornalista ha quindi deciso di vederci chiaro e ha portato lo smartphone al Security Lab di Amnesty International per un’analisi. Quello che è emerso è sorprendente: l’analisi ha rivelato che fosse stato usato un prodotto dell’azienda israeliana Cellebrite per sbloccare il telefono ed estrarne i dati, e che vi fosse stato installato lo spyware in questione (NoviSpy), forse ideato proprio in Serbia o importato dall’estero. Per chi non la conoscesse, Cellebrite è un’azienda specializzata nello sblocco di dispositivi ed estrazione dati (simile a NSO Group, nota per avere venduto a livello globale lo spyware Pegasus), e i suoi prodotti vengono venduti a governi con lo scopo di contrastare il terrorismo.

La ricerca più approfondita da parte degli esperti ha fatto emergere un quadro ancora più preoccupante della situazione in Serbia: a quanto pare la polizia e l’Agenzia per la sicurezza delle informazioni della Serbia (Bezbedonosno-informativna Agencija – Bia) ricorrerebbe regolarmente a NoviSpy per infettare gli smartphone di giornalisti e attivisti; una volta installato, lo spyware è molto pericoloso, visto che è in grado di attivare da remoto microfono, fotocamera e non solo.

Secondo quanto riportato da Amnesty International, la polizia e i servizi serbi si sono avvalsi di questi prodotti per spiare anche attivisti per l’ambiente e della società civile. Il metodo è sempre quello: alle persone vengono requisiti gli smartphone durante gli interrogatori, e gli vengono restituiti manomessi, con spyware installato. Un altro esempio più recente: lo scorso ottobre un attivista del movimento Krokodil, che promuove il dialogo e la riconciliazione nei Balcani occidentali, è stato convocato dalla Bia dopo che la loro sede era stata attaccata da sconosciuti con accento russo (Krokodil aveva condannato l’aggressione all’Ucraina). Il suo Samsung Galaxy S24+ è stato restituito manomesso allo stesso modo: l’analisi degli esperti ha scovato NoviSpy, che stava copiando dati e facendo screenshot di e-mail e messaggi su WhatsApp e Signal.

Dal canto suo, Cellebrite ha rilasciato la seguente dichiarazione:

“Non installiamo malware né svolgiamo sorveglianza in tempo reale attraverso spyware o altre azioni offensive. Apprezziamo le ricerche di Amnesty International sull’apparente uso improprio della nostra tecnologia. Prendiamo seriamente in considerazione gli abusi commessi dai clienti che sono in contrasto con le condizioni descritte nel contratto. Se quanto denunciato da Amnesty International sarà confermato, siamo pronti a prendere provvedimenti, eventualmente chiudendo i rapporti con le agenzie responsabili“.

Nessun commento invece da parte del governo serbo. Per approfondire la questione è possibile consultare il report integrale di Amnesty International a questo link.

Quali sono le vulnerabilità Qualcomm sfruttate

Google ha ricevuto i log del kernel panic generati dagli exploit catturati da Amnesty International e ha lavorato per identificare 6 vulnerabilità nel driver adsprpc di Qualcomm, utilizzato in milioni di dispositivi Android. Più precisamente, le vulnerabilità sono CVE-2024-38402, CVE-2024-21455, CVE-2024-33060, CVE-2024-49848, CVE-2024-43047, più una senza CVE.

Alcune sono state corrette attraverso le patch di sicurezza degli ultimi mesi, mentre altre non ancora. I colleghi di BleepingComputer hanno contattato Qualcomm al riguardo, ottenendo il seguente comunicato:

“Lo sviluppo di tecnologie che mirano a supportare una sicurezza e una privacy robuste è una priorità per Qualcomm Technologies. Vogliamo elogiare i ricercatori di Google Project Zero e di Amnesty International Security Lab per aver adottato pratiche di divulgazione coordinate. Per quanto riguarda la ricerca sui driver FastRPC, le correzioni sono state rese disponibili ai nostri clienti a partire da settembre 2024. Invitiamo gli utenti finali ad installare gli aggiornamenti di sicurezza non appena vengono resi disponibili dai produttori dei dispositivi“.

Per quanto riguarda la vulnerabilità CVE-2024-49848, segnalata da Google a Qualcomm ormai da diversi mesi, dovrebbe essere diffusa una correzione entro il mese di gennaio 2025, mentre la vulnerabilità priva di CVE è stata risolta insieme alla correzione CVE-2024-33060 di settembre 2024.