Android NoviSpy, virus che sfrutta vulnerabilità zero-day Qualcomm

Un nuovo spyware chiamato NoviSpy è stato utilizzato dal governo serbo per sorvegliare giornalisti, attivisti e manifestanti, sfruttando vulnerabilità zero-day nei dispositivi Android con chipset Qualcomm. La minaccia è emersa grazie a un'indagine condotta dal Security Lab di Amnesty International.

Una delle vulnerabilità coinvolte è la CVE-2024-43047, individuata da Google Project Zero nell'ottobre 2024 e successivamente risolta a novembre. Lo spyware NoviSpy è stato scoperto sul telefono del giornalista indipendente Slaviša Milanov dopo un’interazione con la polizia serba. Secondo il rapporto di Amnesty, Milanov è stato fermato per un controllo apparentemente di routine nel febbraio 2024.

Durante la detenzione, gli agenti gli hanno chiesto di consegnare il telefono, che è stato poi restituito. Tornato in possesso del dispositivo, il giornalista ha notato un comportamento anomalo, come la disattivazione dei dati e della connessione Wi-Fi. Insospettito, ha contattato Amnesty International per un’analisi forense del dispositivo.

Cosa hanno scoperto i ricercatori su NoviSpy?

I ricercatori hanno scoperto che NoviSpy sfrutta il driver DSP di Qualcomm per eseguire operazioni multimediali avanzate e si installa in modo persistente, bypassando le protezioni di sicurezza di Android attraverso una catena di exploit. Secondo le indagini, l'Agenzia di Sicurezza serba (BIA) e la polizia avrebbero utilizzato strumenti come Cellebrite per sbloccare i dispositivi durante la custodia fisica, sfruttando falle di sicurezza non ancora note.

Il rapporto evidenzia che NoviSpy comunica con server collegati direttamente alla BIA, e i campioni analizzati contengono configurazioni che identificano individui legati all’acquisto di spyware da parte del governo serbo. Amnesty International ha rilevato che lo spyware è stato probabilmente installato su decine o centinaia di dispositivi in Serbia, colpendo figure come giornalisti, attivisti per i diritti umani e oppositori politici.

Per il compromesso iniziale, NoviSpy sfrutta vulnerabilità zero-click, eseguendo l’attacco attraverso chiamate Android utilizzando tecnologie come Voice-over-WiFi e VoLTE. Alcuni attivisti potrebbero essere stati infettati ricevendo chiamate da numeri non validi, composti da molte cifre, utilizzate come parte dei protocolli RCS di Android. Questa vicenda mette in luce l’uso preoccupante di strumenti avanzati di sorveglianza contro individui che si battono per la libertà di espressione e i diritti umani.