Un recente rapporto di Amnesty International ha rivelato che un giornalista serbo è stato vittima di un attacco informatico in cui il suo telefono è stato compromesso utilizzando un software spia chiamato NoviSpy. Questo spyware è stato installato sul dispositivo dopo che il telefono è stato sbloccato con uno strumento di Cellebrite durante la detenzione del giornalista da parte della polizia serba. NoviSpy è progettato per raccogliere informazioni sensibili dai telefoni compromessi, come dati personali, registrazioni audio e video, e la posizione geografica dell'utente.

Dettagli Tecnici

Il rapporto tecnico di Amnesty International, lungo 87 pagine, sostiene che NoviSpy permette di accedere ai dati personali di un telefono e di attivare il microfono o la fotocamera da remoto. I dati forensi indicano che l'installazione dello spyware è avvenuta mentre il telefono era nelle mani delle autorità serbe. Altri individui presi di mira includono attivisti come Nikola Ristić e Ivan Milosavljević Buki.

Questo caso rappresenta uno dei primi esempi documentati in cui due tecnologie invasive sono state usate insieme per facilitare lo spionaggio e l'esfiltrazione di dati sensibili. NoviSpy è installato tramite il comando Android Debug Bridge (adb) e si manifesta attraverso due applicazioni: NoviSpyAdmin, che raccoglie chiamate, SMS e contatti, e NoviSpyAccess, che sfrutta i servizi di accessibilità di Android per raccogliere schermate e dati di localizzazione.

Sviluppatori e Implicazioni

Non è ancora chiaro chi abbia sviluppato NoviSpy, ma si ipotizza che possa essere stato creato dalle autorità serbe o acquistato da terze parti. Amnesty International ha anche sottolineato che l'Agenzia di Sicurezza Informativa della Serbia (BIA) è stata collegata all'acquisto di strumenti di spyware sin dal 2014, usando software come FinSpy, Predator e Pegasus per spiare giornalisti e organizzatori di proteste.

La polizia serba ha respinto il rapporto, definendolo "assolutamente errato", mentre l'azienda israeliana Cellebrite sta indagando sull'uso improprio dei suoi strumenti. Se verranno riscontrate violazioni dell'accordo con gli utenti finali, potrebbero interrompere le relazioni con le agenzie coinvolte.

Ulteriori Scoperte

Parallelamente, è stato scoperto un exploit di escalation dei privilegi zero-day utilizzato dal dispositivo di estrazione forense universale di Cellebrite (UFED) per accedere ai dispositivi attivisti serbi. La vulnerabilità, identificata come CVE-2024-43047, è stata corretta a ottobre 2024. Google, dopo aver ricevuto log di kernel panic generati dall'exploit, ha identificato sei vulnerabilità nel driver adsprpc di Qualcomm.

Organizzazioni come il Center for Democracy and Technology (CDT) e Amnesty International hanno inviato una lettera al Consiglio dell'Unione Europea per sollecitare azioni contro l'abuso di strumenti di sorveglianza commerciale. Questi sviluppi seguono un rapporto di Lookout che descrive come le autorità di polizia in Cina utilizzano un'intercettazione legale chiamata EagleMsgSpy per raccogliere informazioni dai dispositivi mobili dopo aver ottenuto l'accesso fisico.