Sul web circolano da tempo strumenti pensati per entrare nei dispositivi altrui senza lasciare traccia. La novità di questi giorni ha però caratteristiche che meritano attenzione, perché segnalano un salto qualitativo nella democratizzazione della sorveglianza digitale. Si chiama Oblivion, è un Remote Access Trojan per Android, e viene venduto apertamente su forum pubblici, non nel dark web, con prezzi accessibili a chiunque voglia investire in attività di spionaggio.
A scoprirlo e documentarlo sono stati i ricercatori di Certo Software, azienda britannica specializzata in sicurezza mobile. La loro analisi, resa pubblica nelle ultime ore, descrive un prodotto costruito con una cura insolita per questo tipo di malware commerciale. Il venditore sostiene di averlo testato per quattro mesi in ambienti reali prima del rilascio, senza crash e senza rilevamenti comportamentali da parte dei principali antivirus. Non si tratta di codice riciclato, come accade per la maggior parte degli strumenti criminali che affollano il mercato sommerso, ma di un sistema costruito da zero con obiettivi precisi.
Come funziona e quanto costa
Il modello di business è strutturato come un abbonamento SaaS, Software as a Service, una formula che ormai si applica anche al cybercrimine organizzato. Il pacchetto mensile costa trecento dollari, quello trimestrale settecento, quello semestrale milletrecento. Chi vuole un accesso permanente può acquistare la licenza a vita per duemiladuecento dollari. Un costo non irrisorio, ma certamente alla portata di partner abusivi, datori di lavoro spregiudicati, investigatori privati senza scrupoli, e naturalmente di operatori statali che vogliano evitare di lasciare tracce riconducibili a strumenti istituzionali.
Oblivion colpisce Android dalla versione 8 fino alla 16, la prossima, coprendo praticamente ogni dispositivo attivo oggi sul mercato. Il sistema bypassa i livelli di sicurezza personalizzati dei principali produttori, Samsung con One UI, Xiaomi con HyperOS e MIUI, Oppo con ColorOS, Honor con MagicOS, OnePlus con OxygenOS. La diffusione è quella di un prodotto capace di funzionare su quasi qualsiasi telefono Android nel mondo.
Il vettore di infezione è un meccanismo di ingegneria sociale raffinato. L’attaccante genera un dropper che riproduce fedelmente una notifica di aggiornamento di Google Play, completa di istruzioni passo per passo per abilitare l’installazione da fonti sconosciute. Una volta che la vittima segue la procedura credendo di aggiornare un’app di sistema, il malware ottiene l’accesso all’Accessibility Service di Android, ovvero il servizio pensato per gli utenti con disabilità che permette di leggere e interagire con qualsiasi elemento dell’interfaccia. Con questo livello di privilegio, l’attaccante può fare tutto ciò che fa il proprietario del dispositivo, leggere messaggi, intercettare codici OTP bancari, registrare ogni tasto premuto attraverso il keylogger integrato, guardare in tempo reale lo schermo mentre la vittima vede una falsa animazione di aggiornamento di sistema, e sbloccare il telefono da remoto anche dopo un riavvio.
L’infrastruttura è progettata per gestire oltre mille vittime contemporaneamente, con supporto alla rete Tor per rendere anonimo il pannello di controllo dell’operatore.
Chi c’è dietro, e un ecosistema più vecchio di quanto sembri
L’identità precisa del venditore di Oblivion non è ancora nota. Certo Software ha tracciato il profilo del forum dove viene commercializzato, ma l’anonimizzazione è robusta. Quello che emerge con chiarezza è però il contesto in cui questo strumento si inserisce, ed è un contesto che l’Italia conosce bene.
Da due decenni il nostro Paese ospita alcune delle aziende spyware più note al mondo. Nel 2003 David Vincenzetti e Valeriano Bedeschi fondarono Hacking Team, tra le prime realtà globali a capire che esisteva un mercato internazionale per strumenti di intercettazione chiavi in mano, pronti all’uso per governi e forze dell’ordine di tutto il mondo. Hacking Team finì nel mirino degli hacker nel 2015, quando una fuga di dati massiccia espose centinaia di clienti istituzionali e mostrò al pubblico come funzionasse il mercato globale degli spyware. A Hacking Team seguirono altre realtà, tra cui RCS Lab, Cy4Gate, Raxir.
L’ultima vicenda in ordine di tempo riguarda SIO, azienda italiana che vende i propri prodotti a clienti governativi, identificata nel febbraio 2025 da TechCrunch e dai ricercatori di Lookout come sviluppatrice dello spyware Spyrtacus. Tredici campioni di questo malware sono stati trovati nel corso degli anni, il più vecchio risalente al 2019, l’ultimo all’ottobre 2024. Spyrtacus si travestiva da WhatsApp, da app delle compagnie telefoniche italiane TIM, Vodafone e WINDTRE, riuscendo a sottrarre messaggi da Facebook Messenger, Signal e WhatsApp, esfiltrare rubriche, registrare telefonate e audio ambientale attraverso il microfono, attivare la fotocamera da remoto. Tutto lascia intendere che fosse impiegato da forze dell’ordine italiane, anche se i Ministeri competenti non hanno mai risposto alle richieste di commento.
Il collegamento tra SIO e Spyrtacus emerge attraverso i server di comando e controllo, riconducibili alla società ASIGINT, sussidiaria di SIO, e confermato dalla biografia LinkedIn del CEO di ASIGINT, Michele Fiorentino, che cita esplicitamente il lavoro sullo Spyrtacus Project. Parallelamente, nei mesi scorsi l’Italia è rimasta al centro di uno scandalo per l’uso di Graphite, spyware dell’israeliana Paragon Solutions, nei confronti di giornalisti e attivisti. Uno degli obiettivi era il direttore di Fanpage, Francesco Cancellato, che aveva pubblicato inchieste imbarazzanti per il governo Meloni. Paragon ha poi rescisso il contratto con l’Italia dopo che l’utilizzo risultò fuori dai parametri etici dichiarati.
Lo smartphone come finestra aperta sulla vita di chiunque
La ragione per cui questi strumenti sono così efficaci è strutturale, non contingente. Lo smartphone moderno è la versione digitale del diario personale, dell’agenda, della rubrica, del registratore, della macchina fotografica, del localizzatore GPS e del microfono ambientale, tutto in un dispositivo che portiamo sempre con noi, anche in ambienti riservati. Chi ne ottiene il controllo ottiene di fatto accesso alla vita quotidiana di una persona in modo più completo di qualsiasi intercettazione ambientale tradizionale.
L’Accessibility Service è solo una delle porte d’ingresso. I metadati delle celle telefoniche permettono la geolocalizzazione passiva anche senza GPS. Le app che installiamo raccolgono dati sulle abitudini, sugli spostamenti, sulle preferenze. I sensori del telefono, accelerometro, giroscopio, barometro, trasmettono informazioni che algoritmi sofisticati possono usare per dedurre attività fisiche, stati emotivi e contesti ambientali. Il segnale Wi-Fi rivela la posizione con precisione di pochi metri anche in ambienti chiusi. La batteria si scarica a velocità diverse a seconda delle app attive, un’informazione che consente di inferire comportamenti. Tutto questo prima ancora di compromettere fisicamente il software del dispositivo.
La NSA lo sa dal 2013, quando i documenti di Edward Snowden rivelarono la capacità dell’agenzia di accedere alle comunicazioni di quasi chiunque. Da allora il mercato civile degli spyware ha replicato, in forme commerciali, capacità che erano state appannaggio esclusivo delle agenzie di intelligence statali.
Quando il tracciamento diventa un’arma: le operazioni note
Non si tratta di scenari teorici. La geolocalizzazione degli smartphone e l’intercettazione delle comunicazioni mobili hanno avuto un ruolo documentato in alcune delle operazioni di intelligence e militari più significative degli ultimi due decenni.
Il caso forse più clamoroso riguarda il generale Qassem Soleimani, comandante della Forza Quds dei Pasdaran iraniani, eliminato il 3 gennaio 2020 da un drone americano MQ-9 Reaper nei pressi dell’aeroporto di Baghdad. Secondo ricostruzioni pubblicate da NBC News, Reuters e altre testate, la CIA sapeva esattamente quando il velivolo di Soleimani aveva lasciato Damasco grazie a informatori all’aeroporto siriano. Intelligence israeliana confermò i dettagli. Il tracciamento COMINT, ovvero l’intercettazione delle comunicazioni, avrebbe permesso di seguire l’IMSI, il codice univoco della SIM, di Abu Mahdi al-Muhandis, che attendeva Soleimani a Baghdad, portando così a identificare la posizione esatta del generale al suo arrivo. La rivista specializzata Armada International ha descritto con precisione tecnica come il monitoraggio di un IMSI associato a un contatto di Soleimani avrebbe consentito di ricostruire la sua catena di spostamenti.
In Afghanistan, Yemen, Pakistan e Somalia, la NSA sviluppò una struttura operativa nota come Geo Cell, la cui filosofia venne riassunta da un motto interno diventato pubblico grazie a fonti anonime citate dal Washington Post: “We Track ‘Em, You Whack ‘Em”, troviamo la posizione, voi colpite. Un ex operatore di droni del Joint Special Operations Command dichiarò a The Intercept che circa il novanta per cento delle operazioni ad alto valore in cui era stato coinvolto in Afghanistan si basava su intelligence di segnale, SIGINT, ottenuta attraverso il tracciamento di telefoni cellulari. Gli obiettivi venivano identificati con la posizione del telefono ritenuto in uso, non necessariamente con la certezza dell’identità della persona che lo teneva in mano, un’ambiguità che ha alimentato controversie sui danni collaterali.
In Israele il tracciamento delle comunicazioni mobili è parte documentata dell’arsenale di intelligence militare fin dal 2003. L’esercito israeliano ha ripetutamente usato dati di geolocalizzazione da reti cellulari per individuare obiettivi in Cisgiordania e Gaza. Durante le operazioni in Libano nel 2006, i dati SIGINT raccolti da traffico mobile contribuirono all’identificazione di posizioni Hezbollah.
Il Pegasus Project, l’inchiesta giornalistica internazionale coordinata da Forbidden Stories che nel 2021 analizzò oltre cinquantamila numeri di telefono associati a potenziali obiettivi del software Pegasus di NSO Group, mostrò come governi in tutto il mondo avessero usato lo spyware israeliano con finalità che andavano ben oltre la lotta al terrorismo. In Messico, il giornalista freelance Cecilio Pineda fu trovato ucciso settimane dopo che il suo numero era apparso due volte nella lista. Il ruolo della geolocalizzazione in tempo reale nella sua morte è rimasto controverso ma plausibile. In altri casi, la stessa capacità di localizzazione fu usata per tenere sotto controllo dissidenti, avvocati, medici personali di capi di stato, familiari di politici dell’opposizione.
In Estonia, secondo quanto emerso, i servizi avevano acquistato Pegasus con l’intenzione di usarlo contro telefoni russi a scopi di intelligence. Israele bloccò l’autorizzazione dopo che la Russia ottenne informazioni sull’intenzione estone, un episodio che illustra come il controllo sullo spyware sia diventato uno strumento di negoziazione diplomatica tra stati.
La NSA stessa ha emesso negli ultimi anni circolari interne al personale militare e dell’intelligence, esortando i dipendenti a disabilitare la geolocalizzazione e altri sistemi di raccolta dati commerciali sui propri telefoni. Una circolare classificata poi diventata pubblica avvertiva: “I dati di localizzazione possono rivelare dettagli sul numero di utenti in un luogo, sui movimenti del personale e delle forniture logistiche, sulle routine quotidiane, e possono esporre associazioni altrimenti sconosciute tra utenti e luoghi.”
Cosa fare
Le contromisure contro Oblivion, come contro la maggior parte degli spyware mobili, sono in larga parte preventive. L’infezione avviene quasi sempre attraverso installazioni fuori dal Play Store ufficiale, quindi il primo presidio è non abilitare mai l’installazione da fonti sconosciute se non si è assolutamente certi della provenienza del file. Qualunque notifica di aggiornamento che appaia al di fuori delle impostazioni di sistema va trattata con sospetto.
Un riavvio settimanale del dispositivo, raccomandazione che arriva direttamente dalla NSA, può interrompere spyware residenti in memoria. Il monitoraggio dei permessi concessi alle app, in particolare all’Accessibility Service, permette di rilevare accessi anomali. Se lo schermo rimane bloccato su un’animazione di aggiornamento che non è stata avviata dall’utente, spegnere immediatamente il dispositivo ed effettuare una scansione con un antivirus aggiornato è la risposta più rapida.
Per chi ha profili ad alto rischio, giornalisti, avvocati, operatori nei settori della sicurezza, funzionari pubblici, il cambio periodico del dispositivo e l’uso di telefoni dedicati per attività sensibili rimangono le difese più efficaci. Nessun software di sicurezza è infallibile contro un malware progettato per non essere rilevato e testato per quattro mesi in condizioni reali prima di essere commercializzato.
Trecentoventi dollari al mese sono una cifra che mette la sorveglianza totale di uno smartphone alla portata di molti. Non è più un problema che riguarda solo i giornalisti scomodi o i dissidenti politici. È un problema che riguarda chiunque abbia un telefono Android in tasca e una vita privata che vale la pena proteggere.
