19/01/2017 di Redazione

Camuffamenti, ricatti e furti: le armi del cybercrimine mobile

Nel 2016 Trend Micro ha rilevato 65 milioni di tentativi di infezione su smartphone e tablet Android, mentre le app maligne in circolazione sono quasi raddoppiate in un anno. In ascesa ransomware e attacchi alle aziende.

immagine.jpg

Chi combatte il crimine informatico non riesce a invertire la rotta: i numeri sono sempre in ascesa, di anno in anno e di trimestre in trimestre. Ciò è vero soprattutto per gli attacchi rivolti a smartphone e tablet, come testimoniato da Trend Micro. L’anno scorso la società di sicurezza ha bloccato 65 milioni di tentativi di infezione mobile e scoperto 19,2 milioni di app malevole per Android, ovvero quasi il doppio rispetto a quelle (10,2 milioni) osservate nel 2015. Una trentina di vulnerabilità del sistema operativo – insite nei drive dei dispositivi, nel framework e addirittura nel kernel – sono state segnalate a Google nel corso del 2016, in cinque casi specificando che si trattava di problemi critici, potenziale varco per azioni di controllo da remoto.

Nello scenario dipinto da Trend Micro (sulla base dei grandi eventi di cybersicurezza dell’anno scorso e di monitoraggi interni del Mobile App Reputation Service e dello Smart Protection Network) spiccano “nemici” ormai noti, ma sempre capaci di nuove incarnazioni cioè varianti software: applicazioni adware, spyware, di banking ed Sms Trojan. Nella maggior parte dei casi, le applicazioni vettore non risiedevano su marketplace e altre sedi non ufficiali, ma c’è anche stato un 1% di app di Google Play, sugli oltre 3,2 milioni passati al vaglio, rivelatosi essere una potentially unwanted application” (Pua), come un software che genera pubblicità indesiderata o che tiene traccia della navigazione dell’utente. Fra i casi eclatanti dell’annata, Trend Micro cita Godless: un’infezione che ha sfruttato una vulnerabilità di Android per coplire con diversi exploit oltre 850mila dispositivi, e che si è poi moltiplicata in quasi 80mila varianti.

 

Più del 60% delle infezioni mobile del 2016 ha riguardato la Cina

 

I ladri informatici saccheggiano la Russia
La maggior parte dei trojan bancari per mobile del 2016, cioè il 74% di quelli osservati, ha operato in Russia, mentre il restante 26% si è diviso fra Cina, Australia, Giappone, Romania, Germania, Ucraina e Taiwan. Sul totale degli attacchi intercettati da Trend Micro, il 67% è stato opera di Sypeng: un malware “doppio”, che ha agito allo stesso tempo come un ransomware e come un’infezione di mobile banking, sottraendo dal dispositivo della vittima informazioni (messaggi Sms, contatti, lista delle chiamate, cronologia del browser, dati di carta di credito) e bloccando lo schermo per chiedere una somma in denaro. Sypeng ha colpito i correntisti di banche russe, dunque innanzitutto cittadini sovietici ma anche ucraini e rumeni.

 

Ransomware triplicato
Fra il 2015 e il 2016 il fenomeno dei malware “ricattatori” è triplicato, restando però sostanziamente stabile nel modus operandi: i ransomware creano un’esca (tipicamente, un messaggio di allerta o di finta protezione o di aggiornamento da installare), si installano sul dispositivo lo bloccano tramite crittografia o screen locker, per poi chiedere il pagamento di un riscatto monetario.  I mobile ransomware più evoluti, inoltre, riescono a ottenere dall’utente i privilegi di amministratore, potendo così modificare le password di blocco schermo e assicurarsi di non essere rimossi. Nella maggior parte dei casi, nota Trend Micro, la minaccia raggiunge l’internauta su siti di videogame o pornografia oppure si camuffa da aggiornamento di sistema.

Tra i successi dei cybercriminali in questo campo, nel 2016 spiccano SLocker/Simple Locker,, SMSLocker, Koler, il già citato Svpeng e FLocker/Frantic Locker. Quest’utlimo, popolare in Giappone, è stato capace di ingannare 32mila dispositivi di utenti nipponici nel solo mese di aprile, e ha anche scavalcato i confini del mobile infettando le smart Tv.

 

La crescita del mobile ransomware fra 2015 e 2016

 

Applicazioni "innocenti" e rischio aziendale
L’abitudine a utilizzare dispositivi personali anche per attività di lavoro (fenomeno noto come Bring Your Own Device) ha naturalmente favorito l’ingresso del crimine informatico in un maggior numero di aziende. Trend Micro fa notare di non aver osservato codice malware progettato in modo specifico per bersagli aziendali, ma tale fatto non ha condizionato il successo degli attacchi. In prevalenza, le infezioni sono state innescate dal download di applicazioni malevole, spesso reperite su marketplace diversi da Google Play; una volta collegato lo smartphone o tablet alla rete aziendale, magari banalmente per controllare la posta elettronica, ecco creata la via di accesso a dati e sistemi dell’organizzazione.

Un esempio è Qvod, un’app camuffata da lettore video e capace di abbonare segretamente la vittima a servizi Sms a pagamento; DressCode, invece, mira al furto di dati spacciandosi per un’applicazione di ottimizzazione del telefono; una terza tipologia è quella di Jopsik, uno spyware che si presenta come aggiornamento di Android o come applicazione di videogioco.

 

Casi di infezione osservati nelle aziende nell'intero anno

 

Un crescendo di vulnerabilità
Nel 2015”, scrive Trend Micro, “le vulnerabilità rilevate riguardavano soprattutto i framework di Android e in particolare il processo mediaserver. Nel 2016, invece, abbiamo osservato più evidenze di vulnerabilità del kernel”. Debolezze, queste ultime, che hanno riguardato soprattutto i kernel drive di produttori di chip, come Qualcomm, MediaTech e Nvidia, e in secondo luogo elementi software impiegati sia da Google per il suo sistema operativo, sia in altre distribuzioni Linux.

Che cosa accadrà quest’anno? A detta di Trend Micro, non necessariamente la situazione peggiorerà. Lo specifico fenomeno del mobile ransomware crescerà ancora fino a raggiungere, presumibilmente già nel 2017, il suo punto di saturazione. Google continuerà a lavorare per rendere più sicuri alcuni elementi di Android, come le interface di programmazione delle applicazioni (Api) e alcune regole sui permessi di amministrazione e sulla modifica delle password di sistema. Nel  frattempo alcune grandi aziende, come Deutsche Bank, stanno dando un esempio di prudenza, imponendo ai dipendenti condotte più restrittive: per esempio, vietando l’utilizzo di app di messaggistica non autorizzate.

 

ARTICOLI CORRELATI