Spyware

Voci di Glossario Sicurezza Informatica
Indice dei contenuti

    Lo spyware è un tipo di malware che raccoglie silenziosamente informazioni sul sistema compromesso e sull’utente — cronologia di navigazione, credenziali, dati finanziari, messaggi, documenti, audio e video — trasmettendole periodicamente a un server controllato dall’attaccante. Si distingue dagli altri malware per l’obiettivo primario: la sorveglianza e il furto di informazioni, non il controllo attivo del sistema (come un RAT) né il danno diretto (come un ransomware).

    Tecniche di raccolta

    Keylogging: registrazione di tutti i tasti premuti dall’utente, incluse password, messaggi privati, dati di carte di credito inseriti in form web. Può essere implementato a livello kernel (driver), a livello userspace (hook delle API tastiera) o tramite screenshot periodici.

    Screen capture: screenshot periodici o streaming video dello schermo, per catturare informazioni visualizzate che non vengono necessariamente digitate.

    Form grabbing: intercettazione dei dati inseriti nei form web prima che vengano cifrati dal browser e trasmessi via HTTPS. Anche se la connessione è cifrata, lo spyware cattura i dati a livello applicativo, prima della cifratura.

    Browser history e password harvesting: estrazione delle credenziali salvate nei browser (Chrome, Firefox, Edge conservano le password in database SQLite cifrati con DPAPI su Windows — lo spyware con i permessi dell’utente può decifrarle).

    Audio e video surveillance: accesso silenzioso a microfono e webcam. Pegasus (NSO Group) e altri spyware di stato attivano microfono e fotocamera dello smartphone senza alcun indicatore visivo.

    Geolocalizzazione: tracking della posizione GPS tramite API del sistema operativo o triangolazione delle reti Wi-Fi.

    Categorie per contesto

    Spyware commerciale (stalkerware): applicazioni vendute legalmente per il “monitoraggio dei figli” o dei “dipendenti”, installate spesso senza il consenso della vittima. Usate frequentemente in contesti di violenza domestica e stalking. Apple e Google hanno introdotto policy specifiche contro le app con capacità nascoste di sorveglianza.

    Spyware criminale: distribuito tramite phishing, exploit, o trojans per il furto di credenziali bancarie e finanziarie.

    Spyware di stato (Mercenary Spyware): strumenti come Pegasus (NSO Group, Israele), Predator (Intellexa) e FinFisher (Gamma Group) sono venduti esclusivamente a governi per operazioni di intelligence. Usano exploit zero-click (zero interazione utente) contro iOS e Android. Rivelazioni di Citizen Lab documentano l’uso contro giornalisti, attivisti, avvocati e oppositori politici in decine di paesi.

    Rilevamento e rimozione

    Lo spyware è progettato per essere invisibile: non mostra finestre, non consuma risorse visibili, non altera il comportamento del sistema in modo percettibile. I segnali indiretti includono: consumo insolito di dati di rete (trasmissione ai server dell’attaccante), batteria che si scarica più velocemente del solito su mobile, processi sconosciuti in background. Il rilevamento richiede strumenti di analisi del traffico di rete, memoria e filesystem — l’analisi forense di Citizen Lab per Pegasus usa backup iOS analizzati con MVT (Mobile Verification Toolkit).

    Ultimo aggiornamento: