Come vengono installati i software spia

Una delle richieste più frequenti di perizie informatiche che vengono fatte è quella relativa all’analisi sulla presenza di software spia all’interno di smartphone e computer. Il fatto di essere sottoposti a controllo non autorizzato da parte di soggetti terzi o che quest’ultimi possano accedere a risorse Cloud è sempre più diffuso e spesso si rivela fondato. All’interno di questo articolo cercheremo di capire come sia possibile controllare un telefono mediante app spia (o di tecniche similari) e di come queste possano essere installate all’interno di uno smartphone.

Android ed Apple: qual è più sicuro?

Uno delle domande che il pubblico si pone da oltre dieci anni è la seguente: è più sicuro Android oppure iPhone? La risposta a questa domanda non esiste, essendo entrambi i sistemi operativi (infatti sarebbe meglio domandarsi: è più sicuro Android oppure iOS?) maturi a sufficienza dal punto di vista della sicurezza informatica da garantire un elevatissimo standard di protezione contro le minacce. Storicamente si tendeva ad affermare che i sistemi Apple fossero i più sicuri, questo a causa della loro natura “chiusa” rispetto ad Android, ove invece è permessa l’installazione di qualsiasi applicazione, anche non verificata, in pochi e semplici passaggi.
Ad oggi, nel 2025, è possibile affermare che sia i telefoni dotati di sistema operativo Android che gli smartphone iPhone si equivalgano dal punto di vista della sicurezza. Nel caso in cui vi fossero accessi non autorizzati, questi andrebbero a sfruttare delle falle di sicurezza imprevedibili.

Metodi di installazione

Arriviamo ora a capire quali sono le tecniche con cui un software spia può essere installato all’interno di uno smartphone. La prima suddivisione che dobbiamo fare è tra installazione remota ed installazione fisica. La prima tipologia di installazione non prevede la necessità di accedere fisicamente al dispositivo: in questo caso, l’attaccante è in grado, con tecniche che tra poco vedremo, di installare software spia a distanza senza operare fisicamente sul device. Nella seconda ipotesi, invece, l’attaccante necessita di accedere fisicamente al dispositivo informatico per poter procedere all’installazione del codice malevolo. In questa seconda casistica, è opportuno quindi che l’attaccante abbia a disposizione anche eventuali codici di sblocco del telefono, come PIN o password.
Nel caso dell’installazione da remoto, le tecniche più comunemente utilizzate sono quelle qui di seguito descritte.

Exploit 0day e 0click

Esempio di Exploit 0Click che non richiede interazione da parte dell’utente

Nel mondo della sicurezza informatica, il termine “exploit” indica un codice o una tecnica utilizzata per sfruttare una vulnerabilità in un software, un sistema operativo o un dispositivo hardware. Gli exploit permettono a un attaccante di eseguire operazioni non autorizzate, come ottenere privilegi elevati, eseguire codice arbitrario o accedere a dati sensibili. Un exploit si basa su una vulnerabilità, ovvero un errore di programmazione o una debolezza del sistema. Queste vulnerabilità possono essere di vario tipo: buffer overflow, injection SQL, cross-site scripting (XSS), directory traversal e molte altre.
Una volta individuata una vulnerabilità, un exploit viene sviluppato per sfruttarla e ottenere un risultato specifico, che può variare dal furto di credenziali all’installazione di malware.

Un exploit 0day (zero-day) è una tipologia di exploit particolarmente pericolosa perché sfrutta una vulnerabilità sconosciuta agli sviluppatori del software. Il termine “zero-day” indica il fatto che non esiste ancora una patch disponibile per correggere il problema, dando agli attaccanti un vantaggio significativo.
Gli exploit 0day vengono spesso venduti nel mercato nero a prezzi elevati, poiché offrono agli attaccanti la possibilità di compromettere sistemi senza che le difese siano pronte a contrastarli. I gruppi di cybercriminali e le agenzie di intelligence sono particolarmente interessati a questi exploit, in quanto possono essere utilizzati per campagne di cyber-spionaggio, sabotaggi digitali o furti di dati.
Una volta che una vulnerabilità 0day viene scoperta da ricercatori etici o dalle aziende di sicurezza, il produttore del software lavora rapidamente per sviluppare una patch.

Ancora più sofisticati e pericolosi degli exploit tradizionali sono gli exploit 0click. Questi attacchi non richiedono alcuna interazione da parte della vittima: non è necessario aprire un file, cliccare su un link o eseguire un’azione specifica. Gli exploit 0click sfruttano vulnerabilità in software che processano automaticamente determinati dati, come i client di messaggistica, le applicazioni di posta elettronica o i browser.
Un esempio concreto di exploit 0click è l’attacco contro dispositivi mobili attraverso vulnerabilità in applicazioni di messaggistica crittografata.
L’attaccante può inviare un messaggio malevolo che, senza bisogno di essere aperto, sfrutta una falla nel codice dell’applicazione e consente l’esecuzione di codice dannoso. Questo tipo di exploit è stato utilizzato in attacchi mirati contro giornalisti, attivisti e figure politiche di rilievo.

App fake

Esempi di applicazioni gratuite che in realtà integrano backdoor

Sempre più piede stanno prendendo le c.d. “App Fake” o applicazioni gratuite il cui intento è quello di installare software malevoli all’interno del telefono della vittima, sfruttando i marketplace ufficiali di Android ed Apple. Nonostante i controlli che vengono effettuati da parte delle suddette aziende, capita spesso che alcune applicazioni malevoli vengano immesse comunque all’interno dei vari store, rendendo l’attacco estremamente subdolo, in quanto difficilmente individuabile.

Le app fake sono applicazioni che imitano software legittimi e popolari, come social network, app bancarie o servizi di messaggistica. A prima vista, sembrano identiche alle originali, ma contengono codice malevolo progettato per rubare dati personali, intercettare comunicazioni o installare ulteriori malware sul dispositivo della vittima. Una volta installate, queste applicazioni aprono una backdoor nel dispositivo, permettendo agli attaccanti di eseguire operazioni come:

  • Controllo remoto: consentono all’attaccante di eseguire comandi sul dispositivo senza il consenso dell’utente.
  • Furto di credenziali: intercettano username e password inseriti nelle app.
  • Spionaggio: registrano le attività dell’utente, compresi messaggi e chiamate.

Backdoor preinstallate in dispositivi usati o riparati

Quando si acquista un dispositivo nuovo o usato, oppure si affida il proprio smartphone o computer a un tecnico per una riparazione, si tende a pensare che il sistema sia sicuro e privo di minacce. Tuttavia, esiste un pericolo spesso sottovalutato: la presenza di backdoor, ovvero accessi nascosti inseriti intenzionalmente per consentire un controllo remoto del dispositivo. Queste backdoor possono essere preinstallate nei dispositivi venduti da fornitori non affidabili o inserite durante una riparazione.
Come anticipato nel paragrafo precedente, queste backdoor permettono, tra le altre cose:

  • Spiare le attività dell’utente, comprese chiamate, messaggi e dati sensibili.
  • Rubare credenziali e informazioni bancarie.
  • Installare malware o ulteriori software malevoli.
  • Prendere il controllo del dispositivo per attacchi remoti o operazioni fraudolente.

Questo fenomeno è stato documentato in vari casi, soprattutto con smartphone a basso costo o prodotti da aziende poco conosciute. Alcune di queste backdoor sono intenzionalmente inserite per scopi di monitoraggio o telemetria, mentre altre possono essere il risultato di compromissioni da parte di terze parti malevole. Una volta introdotta, una backdoor può restare attiva per anni senza che l’utente se ne accorga, inviando dati sensibili a un attaccante o permettendo l’accesso remoto al dispositivo.

Articoli simili dal Blog