Non si tratta della solita applicazione che ruba contatti o invia SMS a pagamento, ma di un’operazione complessa, denominata “Operation NoVoice”, che agisce nelle profondità invisibili del sistema operativo Android. Al centro della tempesta c’è un malware di tipo rootkit, un pezzo di ingegneria informatica progettato per ottenere i privilegi più alti possibili, trasformando il dispositivo in un automa silenzioso nelle mani di attori remoti.
La particolarità tecnica che sta allarmando gli analisti risiede nella capacità del codice di annidarsi nei livelli più bassi del kernel. Mentre la maggior parte dei virus opera “sopra” il sistema, questo si muove “sotto”, rendendosi invisibile ai comuni antivirus.
Smartphone zombie, il virus che trasforma il telefono: ma come lo fa?
Una volta infettato, lo smartphone entra in uno stato di obbedienza totale a un server di comando e controllo (C2). Il proprietario continua a scorrere i social o a rispondere alle mail, del tutto ignaro che, in background, il processore sta eseguendo istruzioni arbitrarie: dall’intercettazione delle chiamate vocali alla lettura in tempo reale dei messaggi criptati, fino alla possibilità di scattare foto o registrare audio senza attivare alcun indicatore visivo.
Un dettaglio laterale che emerge dalle analisi tecniche riguarda la gestione del calore del dispositivo. Curiosamente, gli sviluppatori di questo malware hanno inserito delle routine di pausa per evitare che il surriscaldamento della batteria possa insospettire l’utente più attento. È un paradosso tecnologico: il virus si preoccupa della “salute” hardware del telefono per poterlo sfruttare più a lungo. Il controllo è così granulare che il malware può simulare tocchi sullo schermo per autorizzare permessi che l’utente non concederebbe mai manualmente.
L’intuizione che serpeggia tra gli esperti di sicurezza è che potremmo trovarci di fronte a un cambio di paradigma nel crimine informatico. Se fino a ieri l’obiettivo era il furto rapido di dati, oggi l’obiettivo è la “permanenza”. Un telefono “zombie” è un bene prezioso che può essere affittato ad altri criminali per lanciare attacchi DDOS o per agire come ponte anonimo per attività illecite. Siamo passati dall’era del borseggio digitale a quella del colonialismo tecnologico, dove il tuo dispositivo non ti appartiene più, pur restando nella tua tasca.
Le modalità di diffusione ricalcano vecchi schemi ma con una precisione chirurgica. Il malware viene spesso veicolato tramite versioni contraffatte di app popolari o strumenti di sistema distribuiti su store non ufficiali. La velocità con cui il rootkit riesce a scalare i privilegi, passando da semplice ospite a amministratore supremo, è quasi istantanea.
In questo scenario, il ripristino ai dati di fabbrica potrebbe non essere sufficiente, poiché alcuni di questi agenti patogeni sono in grado di sopravvivere anche alla formattazione, annidandosi in partizioni di memoria che normalmente non vengono toccate dai processi di pulizia standard. La sovranità digitale dell’individuo finisce dove inizia la capacità di calcolo di un rootkit silente.