Cibercriminalità: distrutto con successo un malware mirato ai telefoni Android, grazie alla cooperazione internazionale a cui hanno partecipato le autorità svizzere di perseguimento penale e altri partner.
Alla fine di maggio un’operazione di vasta portata condotta da Europol e dalla polizia olandese con la partecipazione di altre autorità di perseguimento penale ha permesso di fermare un malware («FluBot») che si stava diffondendo rapidamente. Il malware, che infettava gli smartphone con sistema operativo Android tramite messaggi SMS, ha già causato ingenti danni anche in Svizzera. fedpol e il Ministero pubblico della Confederazione avevano participato direttamente all’operazione come partner operativi e strategici.
In seguito a una serie di casi di smishing (phishing tramite SMS) commessi con il malware FluBot originariamente tra aprile e luglio 2021, il Ministero pubblico della Confederazione (MPC) ha aperto nell’aprile 2022 un procedimento penale contro ignoti per acquisizione illecita di dati (art. 143 CP), accesso indebito a un sistema per l’elaborazione di dati (art. 143bis CP), danneggiamento di dati (art. 144bis CP) e abuso di un impianto per l’elaborazione di dati (art. 147 CP). Le indagini avevano non solo lo scopo di identificare gli autori, ma anche di scoprire il funzionamento del malware, di rilevare i casi e le vittime in Svizzera e di assistere le indagini in corso all’estero. Grazie alle intense indagini preliminari congiunte di fedpol e del MPC, la Svizzera ha potuto apportare, nell’ambito di questa operazione comune, un notevole contributo alla distruzione del malware e conseguire quindi un’importante vittoria intermedia nella lotta contro questo fenomeno della cibercriminalità.
Malware disattivato nell’«Action Day» – ulteriori indagini in corso
Un’operazione internazionale, coordinato con il supporto di Europol, cosiddetta «Action Day», alla quale hanno partecipato undici paesi, ha fermato con successo il malware FluBot. L’infrastruttura ha potuto essere distrutta dalla polizia olandese e il ceppo di malware è stato disattivato. Le indagini volte a identificare i presunti autori è invece ancora in corso. L’Action Day è stato preceduto da indagini preliminari condotte in Svizzera da fedpol sotto la direzione del Ministero pubblico della Confederazione. In stretta collaborazione con le polizie cantonali, il Centro nazionale per la cibersicurezza (NCSC), i fornitori di servizi di telecomunicazione e il fornitore di servizi di digitalizzazione Switch, sono state raccolte e analizzate le informazioni sul funzionamento del malware così come sui casi e i danneggiati dal FluBot. fedpol ha coordinato lo scambio internazionale di informazioni, in particolare con Europol.
Un unico SMS malware può scatenare una valanga distruttiva
Gli attacchi tramite SMS che hanno colpito diversi millioni di utenti di smartphone in tutto il mondo, tra cui molti anche in Svizzera, avvenivano sul sistema operativo Android degli apparecchi degli utenti interessati nel seguente modo: gli autori infettavano gli smartphone con un malware che si diffondeva tramite SMS. Il messaggio conteneva un link che rinviava la vittima verso un presunto link di tracciamento di un pacco (cosiddetto tracking).
Cliccando sul link, il malware veniva direttamente installato e consentiva agli autori accesso diretto a dati quali password, informazioni di e-banking, SMS e dati di conti online. Gli hacker utilizzavano in seguito questo accesso per rubare login per applicazioni bancarie o dati di conti per criptovalute e disattivare i meccanismi di sicurezza integrati. Il ceppo di malware poteva diffondersi in un baleno, poiché poteva accedere ai contatti di uno smartphone infettato. In seguito venivano inviati a questi numeri messaggi con link verso il malware FluBot, contribuendo a diffonderlo ulteriormente. Grazie all’operazione coordinata da Europol, questa infrastruttura è stata sottoposta al controllo delle autorità di perseguimento penale e la spirale distruttiva è stata fermata.
Proficua cooperazione tra Stati, autorità ed economia
In considerazione del carattere internazionale della cibercriminalità, la soluzione di tali casi e l’identificazione degli autori richiedono una potenziata collaborazione internazionale tra tutti gli Stati coinvolti. In questo caso numerosi provvedimenti d’inchiesta delle autorità svizzere di perseguimento penale, insieme al NCSC e ad altri partner dell’economia, in particolare i fornitori di servizi di telecomunicazione interessati e il fornitore di servizi di digitalizzazione Switch, hanno portato al successo dell’operazione e contribuito a fare in modo che questo malware non si diffondesse ulteriormente.
Più crimini vengono denunciati anche nel settore della cibercriminalità, migliori sono le possibilità delle autorità di perseguimento penale di perseguire questo fenomeno, poiché in questo modo possono essere raccolte e analizzate più prove. Sia i privati sia le organizzazioni vittime di ciberattacchi hanno interesse ad annunciare questi casi o a denunciarli direttamente alla procura o alla polizia.
Il procedimento penale svizzero sarà proseguito principalmente allo scopo di identificare gli autori tramite mezzi di prova utilizzabili in giudizio.
Trattandosi di un processo dinamico che non è influenzato soltanto dal MPC, non è possibile formulare prognosi quanto all’orizzonte temporale o all’esito.
Per tutte le parti in causa si applica la presunzione di innocenza. Il MPC non rilascia attualmente ulteriori dichiarazioni in merito al procedimento penale e/o a fasi processuali concrete.
