Il caso dello spyware Paragon Solution

Paragon Solution Spyware

Paragon Solution è un’azienda israeliana specializzata nello sviluppo di software di sorveglianza avanzati. Fondata da ex membri delle forze di difesa israeliane, l’azienda si è rapidamente affermata nel mercato della cyber intelligence, offrendo strumenti sofisticati destinati principalmente a governi e agenzie di sicurezza. Tra i suoi prodotti di punta spicca “Graphite”, uno spyware progettato per infiltrarsi nei dispositivi mobili e accedere a dati sensibili, inclusi messaggi criptati su applicazioni come WhatsApp e Signal.

Nel gennaio 2025, WhatsApp ha rilevato un’attività sospetta che coinvolgeva circa 90 utenti in oltre 20 paesi. Questi utenti, tra cui giornalisti e attivisti, sono stati presi di mira attraverso l’invio di documenti elettronici malevoli (generalmente PDF) che, una volta aperti, installavano lo spyware sui loro dispositivi. Questo attacco, noto come “zero-click“, non richiedeva alcuna interazione da parte dell’utente, rendendolo estremamente efficace e difficile da individuare. WhatsApp ha prontamente interrotto l’attacco, notificando le vittime e inviando una lettera di richiesta informazioni a Paragon Solution, sottolineando la gravità dell’accaduto.

Il coinvolgimento dell’Italia

L’Italia è stata al centro di questo scandalo quando è emerso che almeno sette cittadini italiani, tra cui giornalisti e attivisti, erano stati bersaglio dello spyware. Tra questi, Francesco Cancellato, direttore del giornale online Fanpage, noto per le sue inchieste in Italia, e Luca Casarini, fondatore dell’ONG Mediterranea Saving Humans, impegnata nel soccorso dei migranti nel Mediterraneo. La notizia ha scatenato un’ondata di indignazione nell’opinione pubblica e nel mondo politico italiano, con richieste di chiarimenti al governo riguardo al possibile uso improprio dello spyware. Il governo italiano ha negato qualsiasi coinvolgimento, affermando di aver sempre rispettato le leggi vigenti e annunciando l’apertura di un’indagine per far luce sulla vicenda.

Come funziona Graphite di Paragon Solution e spyware simili?

Gli spyware di ultima generazione, come Graphite di Paragon Solution, sono progettati per operare in modo furtivo, sfruttando vulnerabilità 0day e 0click dei sistemi operativi e di potenziali applicazioni installate sul dispositivo della vittima per ottenere accesso ai dati sensibili degli utenti senza il loro consenso.
Ottenere vulnerabilità 0day e 0click non è una cosa semplice e spesso questo prevede l’investimento di centinaia di migliaia di Dollari (se non, a volte anche milioni). Questo ci permette di capire fin da subito che infettare lo smartphone di una persona non è solo estremamente complesso, ma può risultare anche molto costoso in termini economici.
Oltre allo sfruttamento di vulnerabilità, due sono le ulteriori tecniche possibili:

  • Attacchi Man-in-the-Middle (MitM): intercettano il traffico tra il dispositivo e i server delle applicazioni per iniettare codice malevolo nel sistema target.
  • Falsi aggiornamenti o applicazioni infette: lo spyware può essere distribuito sotto forma di aggiornamenti software fasulli o attraverso app compromesse scaricate da store alternativi.

Una volta installato lo spyware con una delle tecniche sopra indicate, l’infezione iniziale di solito avviene con privilegi limitati, ma per poter accedere a funzionalità avanzate, lo spyware cerca di ottenere privilegi amministrativi o addirittura il controllo a livello di kernel. Ciò è possibile mediante una serie di tecniche, anche qui:

  • Sfruttamento delle vulnerabilità del kernel: alcuni spyware utilizzano exploit noti (o 0-day) per ottenere privilegi root su Android o un accesso elevato su iOS.
  • Persistenza avanzata: per evitare la rimozione accidentale, Graphite implementa tecniche per riavviarsi automaticamente in caso di interruzione del servizio o riavvio del dispositivo. Alcuni spyware possono installarsi a livello di bootloader, rendendo quasi impossibile la loro eliminazione senza una riprogrammazione completa del dispositivo.
  • Camuffamento e Anti-forensics: per evitare di essere rilevato da software di sicurezza, lo spyware può adottare tecniche di offuscamento del codice, eliminazione automatica delle proprie tracce e cifratura dei propri file di log.

Una volta stabilita la persistenza, Graphite (e spyware analoghi) inizia la sua attività principale: la raccolta di informazioni sensibili dal dispositivo. Questo processo avviene in tempo reale e può comprendere diversi aspetti:

  • Intercettazione di chiamate e messaggi: lo spyware può accedere direttamente alla memoria delle applicazioni di messaggistica e registrare chiamate vocali, anche quelle crittografate.
  • Keylogging: può registrare tutto ciò che l’utente digita, inclusi password, email e conversazioni private.
  • Accesso a file e documenti: ogni file memorizzato sul dispositivo può essere copiato ed esfiltrato.
  • Attivazione di microfono e fotocamera: gli operatori dello spyware possono accendere il microfono e la fotocamera del dispositivo a distanza, trasformandolo in uno strumento di sorveglianza ambientale.
  • Monitoraggio della posizione GPS: Graphite è in grado di tracciare in tempo reale gli spostamenti dell’utente e analizzare i suoi pattern di movimento.


Articoli simili dal Blog