Virologia della telefonia mobile, Parte 5

12 mag
Notizie Virus

Introduzione

Dalla pubblicazione dell'articolo «Virologia della telefonia mobile, Parte 4» - avvenuta nel mese di marzo 2011 - è ormai trascorso quasi un anno. Nel capitolo finale del nostro precedente report sul malware mobile avevamo fatto alcune previsioni in merito alla possibile evoluzione, nel corso del 2011, delle minacce specificamente «dedicate» alle piattaforme mobili. Andremo quindi a verificare se tali previsioni si siano avverate o meno. Riassumendo le principali tesi sviluppate dai virus writer:

  1. Predominio dei Trojan-SMS sulla scena delle minacce IT specificamente rivolte alle piattaforme mobili.
  2. Aumento del numero di malware mobile preposti a colpire il sistema operativo Android.
  3. Aumento del numero delle vulnerabilità rilevate nelle varie piattaforme mobile e conduzione di attacchi informatici tramite lo sfruttamento di tali falle di sicurezza.
  4. Aumento del numero degli spyware in circolazione.

Già in questi primi mesi del 2012 possiamo tranquillamente affermare che le nostre previsioni, purtroppo, hanno trovato pieno riscontro nella realtà dei fatti.

  1. La presenza dei Trojan-SMS nel panorama del malware mobile ha avuto un repentino e consistente sviluppo.
  2. E' aumentato il numero delle minacce informatiche rivolte alla piattaforma Android.
  3. I malintenzionati sfruttano attivamente alcune vulnerabilità individuate nei sistemi operativi mobile.
  4. Anche gli spyware stanno causando problemi agli utenti dei dispositivi mobile.

Occorre sottolineare come abbia avuto ormai termine l'egemonia esercitata dai software nocivi elaborati dai virus writer per colpire la piattaforma J2ME (Java 2 Micro Edition). Questo è dovuto alle maggiori attenzioni dedicate dagli autori di malware mobile alla piattaforma Android. L'elevato grado di popolarità di cui gode - presso gli scrittori di virus - il sistema operativo mobile sviluppato da Google, ha suscitato tutta una serie di problematiche che andremo ad esaminare in dettaglio in una successiva sezione del presente report.

In generale, nel corso del 2011, i programmi malware creati per attaccare smartphone, cellulari ed altri apparati mobile hanno compiuto un vero e proprio «salto» di qualità, raggiungendo livelli di maggiore complessità. Tuttavia, la scena del malware mobile risulta per il momento ancora dominata da «creature» molto meno sofisticate, prodotte dagli autori di virus russi e cinesi; non vi sono elementi per ritenere che, nell'immediato futuro, tale situazione possa subire cambiamenti.

Statistiche generali

Come da tradizione, avviamo il nostro resoconto riportando i dati statistici raccolti ed elaborati dai nostri esperti.

Numero di famiglie e varianti attualmente esistenti

Ricordiamo innanzitutto come, alla fine del 2010, le statistiche da noi elaborate dipingessero già un quadro decisamente allarmante, con ben 153 famiglie e più di 1.000 varianti di malware mobile identificate. In pratica, nel corso del 2010 - rispetto al 2009 - è stato individuato il 65,12% in più di nuovi programmi malware per piattaforme mobile.

La tabella qui di seguito riportata riproduce la situazione - al 1° gennaio 2012 - relativa alle famiglie e alle varianti di malware mobile presenti nella «collezione» di Kaspersky Lab:

Piattaforma Numero di varianti Numero di famiglie
Android 4139 126
J2ME 1682 63
Symbian 435 111
Windows Mobile 81 23
Others 19 8

Di quanto è aumentato nel corso del 2011 il numero delle minacce IT rivolte ai sistemi operativi mobile? Complessivamente, durante lo scorso anno, abbiamo individuato ben 5.255 nuove varianti di malware mobile, nonché 178 nuove famiglie. Ciò significa che, nel breve volgere di un anno, il numero totale delle minacce informatiche espressamente destinate ai dispositivi mobile è aumentato addirittura di 6,4 volte. Basti pensare che, solo nel corso dell'ultimo mese del 2011, abbiamo aggiunto ai nostri database anti-virus più programmi malware per sistemi operativi mobile che in tutto il periodo 2004-2010.



Numero delle nuove varianti di malware mobile individuate mensilmente nel periodo 2004 – 2011

Il diagramma qui sopra inserito evidenzia come nella seconda metà del 2011 si sia verificato un aumento del numero di nuove minacce IT per piattaforme mobile. In tutta la storia - per quanto relativamente breve - del malware mobile, non avevamo mai assistito a nulla di simile.

Suddivisione delle varianti di malware mobile sulla base dei loro specifici comportamenti nocivi

All'interno dei nostri precedenti report relativi alla virologia della telefonia mobile non avevamo ancora riportato dati statistici riguardanti la ripartizione dei programmi malware per OS mobile in base ai diversi comportamenti evidenziati da tali software nocivi. I dati da noi raccolti ed elaborati nel corso del 2011 si sono rivelati curiosi e singolari.


Ripartizione dei malware mobili sulla base dei loro comportamenti - Anno 2011

Come già sottolineato nel capitolo introduttivo, nel 2011 non si è solo verificato un aumento del numero di minacce informatiche «mobile», ma sono intervenuti significativi cambiamenti riguardo alla qualità e alla natura stessa dei malware per smartphone e prodotti affini. Sebbene tra i software dannosi individuati dominino tuttora i Trojan-SMS dotati di funzionalità primitive - i quali consentono ai malintenzionati di guadagnare consistenti somme di denaro senza produrre particolari sforzi - la quota ad essi riconducibile è scesa dal 44,2% rilevato nel 2010 al 36,6% fatto segnare nel 2011.

Al secondo posto della graduatoria si sono collocati i Backdoor. Nel 2010, i malintenzionati non avevano quasi per nulla utilizzato tale programma nocivo. L'elevato interesse dimostrato dai virus writer nei confronti dei programmi Backdoor trova il suo fondamento nelle crescenti attenzioni rivolte dagli autori di malware mobile al sistema operativo Android: sottolineiamo come la maggioranza dei Backdoor individuati sia specificamente rivolta agli smartphone provvisti di OS Android. Piuttosto di frequente il Backdoor mobile viene distribuito dai malintenzionati assieme ad un pericoloso root exploit; in tal modo, in caso di esito positivo del processo di infezione del dispositivo mobile, i malfattori ottengono il pieno controllo dell'apparato contagiato dal malware.

Il terzo gradino del «podio» virtuale risulta occupato dai programmi spyware, cioè da quei software adibiti al furto delle informazioni personali dell'utente e/o dei dati relativi al dispositivo mobile infettato. Le nostre previsioni riguardo ad uno sviluppo delle minacce IT preposte a «rubare di tutto» si sono rivelate esatte anche per ciò che riguarda la sfera degli apparati mobile: in effetti, nel corso del 2011, i virus writer si sono attivamente dedicati alla creazione e alla diffusione di un consistente numero di tali programmi nocivi.

Ripartizione delle varianti di malware mobile in relazione alle varie piattaforme esistenti

Per quello che riguarda la distribuzione delle varianti di malware individuate in relazione alle varie piattaforme mobile presenti sul mercato, J2ME ha ormai cessato di costituire il mezzo prediletto dai malintenzionati per la diffusione di programmi malware specificamente creati per i dispositivi mobile.

 
Ripartizione delle varianti di malware mobile in relazione alle varie piattaforme esistenti - Anno 2011

Il motivo per cui la piattaforma J2ME ha perduto la posizione di leader della classifica analizzata nel presente capitolo è evidente: tale circostanza è dovuta alla popolarità presso il pubblico dei dispositivi mobile equipaggiati con sistema operativo Android. Qualcosa di analogo era avvenuto con la piattaforma mobile Symbian. Negli anni che vanno dal 2004 al 2006 l'OS Symbian era risultato essere leader incontrastato tra tutti i sistemi operativi mobile; di pari passo, tale piattaforma era ugualmente la più «gradita» anche dagli scrittori di virus. Tale posizione di netto predominio veniva rilevata da Java 2 Micro Edition, in quanto i software nocivi appositamente creati per colpire J2ME erano effettivamente in grado di poter attaccare un maggior numero di dispositivi mobili. Oggi, il sistema operativo Android risulta essere l'OS mobile più diffuso al mondo; ciò si riflette di conseguenza sulla comparsa e sullo sviluppo di un elevato numero di nuove minacce IT rivolte a colpire il sistema operativo sviluppato da Google. Secondo le stime raccolte, il sistema operativo Android risulta oggi installato sul 40-50% degli smartphone.

La crescita del numero delle minacce IT mobili destinate ad Android ha avuto luogo nel secondo semestre del 2011. A metà dell'estate scorsa il numero di programmi malware elaborati dai virus writer per danneggiare Android superava già quello dei software nocivi riservati al sistema operativo Symbian; nell'autunno del 2011, poi, l'OS mobile di Google si lasciava alle spalle anche la piattaforma J2ME. Nella parte finale dello scorso anno Android ha rafforzato il suo poco invidiabile primato; riteniamo sia davvero poco probabile che tale situazione possa in qualche maniera modificarsi nell'immediato futuro.

Android sotto tiro

La crescita esplosiva del numero di programmi malware complessivamente destinati alle varie piattaforme mobile esistenti è stata principalmente determinata dall'aumento del numero di software nocivi creati dai virus writer per infettare l'OS Android.


Numero di nuove varianti individuate mensilmente nel corso del 2011 - Confronto tra l'insieme dei malware mobili rilevati ed i programmi nocivi specificamente sviluppati per Android

Il grafico sopra riportato evidenzia come nella seconda metà del 2011, nel periodo in cui si verificava l'imponente e rapida crescita del numero di nuovi programmi malware per dispositivi mobile, la maggioranza dei malware mobile da noi rilevati mensilmente fosse composta da software nocivi destinati alla piattaforma Android. Trasformando i valori di tale diagramma in cifre assolute si ottiene la seguente significativa tabella:

Меse Numero complessivo di nuove varianti rilevate Numero di nuove varianti specificamente rivolte ad Android
2011-1 27 4
2011-2 93 11
2011-3 139 39
2011-4 102 5
2011-5 175 25
2011-6 301 112
2011-7 298 212
2011-8 313 161
2011-9 680 559
2011-10 879 808
2011-11 1049 1008
2011-12 1199 1179

Tutti i software nocivi per Android da noi individuati possono essere suddivisi in due grandi gruppi:

  • Malware mobile preposti al furto di denaro o di informazioni riservate.
  • Malware mobile il cui specifico compito è quello di assumere il controllo del dispositivo.


Ripartizione dei malware mobili destinati alla piattaforma Android sulla base dei loro specifici comportamenti

Obiettivo: sottrarre informazioni o denaro

Già nel mese di ottobre 2011 risultava che circa un terzo dei malware sviluppati per attaccare il sistema operativo mobile Android mirasse al furto dei dati personali custoditi nel dispositivo dell'utente (contatti, registri delle chiamate, messaggi SMS, coordinate GPS, fotografie e via dicendo).

Nel furto di informazioni sono prevalentemente specializzati i cyber criminali cinesi. Di solito questi sembrano più che altro interessarsi alle informazioni relative al dispositivo mobile (codici IMEI e IMSI, paese, il numero di telefono stesso), non tanto ai dati personali e confidenziali inerenti al proprietario dello smartphone.

Il programma Trojan identificato come Nickspy (Trojan-Spy.AndroidOS.Nickspy) rappresenta un'eccezione rispetto all'abituale «produzione» dei virus writer insediati nel territorio della Repubblica Popolare Cinese. Il suddetto software malevolo è in grado di registrare tutte le conversazioni - effettuate dal proprietario dell'apparato mobile preso di mira - in appositi file audio, i quali vengono poi trasmessi al server remoto allestito dai criminali. Le varianti di Nickspy, inoltre, mascherandosi sotto forma di applicazione per il social network Google+, può ricevere, a totale insaputa dell'utente, chiamate provenienti da uno specifico numero di telefono predisposto dai criminali informatici; tale numero risulta naturalmente presente all'interno del file di configurazione del malware mobile in questione. Così, ogni volta che il telefono infetto riceve la chiamata «segreta», i malfattori hanno la ghiotta opportunità di poter ascoltare tutto ciò che avviene nelle vicinanze del dispositivo contagiato, tra cui, ovviamente, le stesse conversazioni del proprietario dello smartphone. Oltre a ciò, il Trojan in questione «si interessa» attivamente ai testi dei messaggi SMS, alle informazioni relative alle chiamate eseguite o ricevute, così come alle coordinate GPS del dispositivo. Tutti questi dati vengono anch'essi inoltrati al server remoto predisposto dai malintenzionati di turno.

Se le tracce di Nickspy ci conducono direttamente in Cina, rileviamo invece come il programma Trojan denominato Antammi (Trojan-Spy.AndroidOS.Antammi) sia opera di virus writer russi. La copertura delle attività dannose svolte dal Trojan Antammi è rappresentata dalla particolare funzionalità - apparentemente del tutto legittima - di applicazione da utilizzare per il download di suonerie. Il programma malware in questione è in realtà in grado di realizzare il furto di tutti i dati personali dell'utente memorizzati nel dispositivo mobile: contatti, archivio dei messaggi SMS, coordinate GPS, fotografie, etc. In seguito, tale software nocivo provvede ad inviare ai cyber criminali di riferimento, tramite posta elettronica, il log delle attività condotte, mentre i dati confidenziali illegalmente carpiti vengono trasmessi ad un apposito server.

Desideriamo rammentare, in questo stesso capitolo del report, un episodio particolarmente eclatante e significativo. Verso la metà del mese di novembre dello scorso anno, il ricercatore e blogger americano Trevor Eckhart, sulla base di documenti pubblicamente accessibili, ha reso noto che alcuni operatori statunitensi di telefonia mobile, così come alcuni produttori di smartphone, provvedevano a preinstallare su vari dispositivi mobili commercializzati nel mercato USA un particolare software sviluppato dalla società Carrier IQ. Si trattava, nella fattispecie, di un programma preposto a raccogliere un vasto numero di informazioni sullo smartphone stesso, sulle attività di quest'ultimo, e in grado di memorizzare i dati relativi ai tasti premuti dall'utente, così come di tenere traccia degli URL visitati durante la navigazione in Internet. In altre parole, il programma elaborato da Carrier IQ risultava in grado di raccogliere una notevole quantità di informazioni personali riguardanti il proprietario dell'apparato mobile.

Così, sotto l'occhio attento e vigile di ricercatori e mass media sono andati a finire vari smartphone gestiti dal sistema operativo mobile Android, in particolare quelli prodotti da HTC Corporation. Nella circostanza, veniva rivelato che lo specifico software prodotto da Carrier IQ era supportato dagli smartphone Blackberry e Nokia; entrambe le aziende provvedevano a dichiarare di non aver mai preinstallato il software sui dispositivi mobile prodotti. Apple invece, affermava il contrario, cioè di aver preinstallato sui propri prodotti per la telefonia mobile il programma elaborato da Carrier IQ; l’azienda di Cupertino sottolineava come, con l'uscita dell' iOS 5 - il nuovo sistema operativo mobile - tale software non sarebbe stato più utilizzato su tutti gli apparati mobile, ad eccezione dell' iPhone 4. Nel mese di novembre 2011 il software «incriminato» risultava ancora preinstallato sugli iPhone 4 provvisti di sistema operativo iOS 5; tuttavia, secondo le dichiarazioni rese da Apple, il programma avrebbe poi dovuto essere rimosso mediante successivi aggiornamenti.

Dopo che il suddetto episodio aveva già suscitato vasti echi sui mass media, Carrier IQ provvedeva a rilasciare una dichiarazione, in cui spiegava il motivo per il quale il software mobile sviluppato raccoglieva informazioni non solo relativamente al dispositivo stesso e al suo funzionamento (riguardanti ad esempio la batteria e il suo livello di carica, oppure la presenza di connessioni di tipo Wi-Fi), ma anche informazioni riguardo ai tasti premuti dall'utente e agli URL da quest'ultimo visitati in Rete. Secondo le rassicurazioni fornite da Carrier IQ, tutto ciò veniva fatto allo scopo di poter poi inviare informazioni di diagnostica all'operatore di telefonia mobile di riferimento. In altre parole, il programma in questione risultava preposto all'invio di dati nel caso in cui, ad esempio, l'utente avesse avuto problemi di accesso a Facebook; l'applicazione Carrier IQ (che porta lo stesso nome della casa produttrice) non avrebbe in alcun modo trasmesso informazioni riguardo ai contenuti delle pagine web visitate dal proprietario dello smartphone all'interno del social network. La software house statunitense dichiarava inoltre che i dati raccolti dal programma venivano inviati direttamente agli operatori di telefonia mobile.

Al giorno d'oggi, il problema della protezione dei dati personali è molto sentito. Simili «scoperte» ed eventi, da parte loro, non fanno altro che ravvivare l'interesse nei confronti di questi temi. I successivi sviluppi degli avvenimenti che si sono prodotti potrebbero tuttavia addirittura generare la comparsa di software analoghi, già preinstallati sui dispositivi mobili per conto di altri operatori di telefonia mobile o ad opera di altre aziende produttrici di smartphone.

Per ciò che riguarda i programmi nocivi specificamente mirati a perpetrare il furto del denaro degli utenti, così come in precedenza, sono i virus writer russi a collocarsi su posizioni di assoluta preminenza. Gli autori di malware mobile insediati sul territorio della Federazione Russa hanno da qualche tempo iniziato a produrre in massa Trojan-SMS destinati alla piattaforma Android. Sulla scena del malware, tra l'altro, hanno fatto la loro comparsa nuovi programmi di partenariato che consentono di generare automaticamente i più disparati Trojan-SMS e forniscono inoltre interi kit di strumenti e risorse per favorirne la diffusione sui dispositivi mobili degli utenti (negozi di applicazioni fasulli, codici QR, script, parcheggio di domini e via dicendo).

Obiettivo: ottenere il controllo del dispositivo mobile

Nel corso del 2011 hanno trovato larga diffusione, nel mondo della cyber criminalità, anche i malware mobile preposti ad assumere il controllo del dispositivo infettato. Attualmente, tra i programmi nocivi sviluppati per l'OS Android, i backdoor risultano secondi, in quanto a grado di popolarità, soltanto ai programmi Trojan-Spy, come d'altronde evidenzia il grafico riportato in un precedente capitolo.

I virus writer cinesi stanno creando ormai da tempo un elevato numero di programmi backdoor. Occorre sottolineare come la maggior parte di tali backdoor contenga a sua volta degli exploit, il cui unico compito consiste nell'eseguire il root del dispositivo (ovverosia ottenere privilegi di superutente - di root, appunto - od ottenere i massimi privilegi sull'apparato sottoposto a contagio informatico). Ciò consente ai malintenzionati di conseguire da remoto il pieno accesso all'intero smartphone. In altre parole, una volta prodottasi l'infezione e andata in porto l'azione dannosa compiuta dall'exploit, i cybercriminali possono eseguire da remoto qualsiasi tipo di attività sullo smartphone-vittima.

Sono stati proprio i cosiddetti root exploit «dedicati» alla piattaforma Android a segnare l'inizio di un massiccio sfruttamento delle vulnerabilità individuate nei sistemi operativi mobile. L'utilizzo di tali malware si è diffuso in particolar modo presso gli autori di virus cinesi. A dire il vero, la maggior parte degli exploit utilizzati dai cyber criminali è nota da tempo, in quanto tali codici nocivi erano già stati sviluppati per le versioni più datate dell'OS Android. Tuttavia, poiché un gran numero di utenti provvede di rado all'aggiornamento del proprio sistema operativo, la quantità di vittime potenziali dei root exploit rimane decisamente elevata, così come lo era in precedenza.

Probabilmente, l'esempio più eclatante di programma backdoor è rappresentato dal bot IRC denominato Backdoor.Linux.Foncy, individuato proprio all'inizio del 2012, un malware dotato di funzionalità particolarmente nocive ed aggressive. Tale backdoor è risultato contenuto in un programma dropper in formato APK (Android application package file), classificato come Trojan-Dropper.AndroidOS.Foncy. Il dropper in questione, oltre al backdoor sopra menzionato, conteneva un exploit (Exploit.Linux.Lotoor.ac) preposto ad ottenere i diritti di root sullo smartphone ed un Trojan-SMS (Trojan-SMS.AndroidOS.Foncy).

Nella circostanza, il dropper provvede a copiare in una nuova directory (/data/data/com.android.bot/files) l'exploit, il bot IRC ed il Trojan-SMS, dopodiché lancia il root exploit. In caso di esito positivo dell'azione nociva svolta dall'exploit, quest'ultimo a sua volta avvia il backdoor, il quale, per prima cosa, effettua l'installazione nel sistema del Trojan-SMS Foncy (di tale programma parleremo in dettaglio in un successivo capitolo del report, intitolato «I Trojan-SMS»). Desideriamo precisare come sia il programma backdoor a provvedere all'installazione e all'avvio del file APK contenente il Trojan-SMS, poiché il dropper esegue semplicemente una copia del Trojan all'interno del sistema:

 
Procedura di installazione del Trojan-SMS denominato Trojan-SMS.AndroidOS.Foncy

Una volta avviato il Trojan-SMS, il backdoor cerca di connettersi con il server IRC remoto, sul canale #andros, utilizzando un nickname casuale. Dopo aver compiuto tali operazioni, è pronto per ricevere ed eseguire sul dispositivo mobile infetto qualsiasi comando shell inviato dal server.

Software nocivi su Android Market

Un altro caso verificatosi nel corso del 2011 è rappresentato dai programmi malware individuati all'interno di Android Market, il negozio ufficiale di applicazioni per il sistema operativo mobile sviluppato da Google. Il primo episodio di comparsa di programmi nocivi su Android Market è stato registrato all'inizio del mese di marzo 2011; successivamente, i malware hanno iniziato a manifestarsi sul noto store di software online con «invidiabile» regolarità. L'elevato grado di diffusione della piattaforma mobile Android, unita alla semplicità di elaborazione dei software dannosi ad essa destinati e alla possibilità di ottenere la diffusione di questi ultimi attraverso una fonte ufficiale, e l'analisi non sufficientemente accurata ed efficace delle nuove applicazioni inserite nello store riguardo alla loro potenziale nocività, hanno davvero giocato un brutto tiro a Google. I cyber criminali, da parte loro, non hanno esitato a sfruttare tali fattori; ne è conseguito che ci siamo ben presto trovati di fronte ad una delicata situazione, per la quale i programmi malware che si diffondono sui dispositivi mobile degli utenti attraverso Android Market sono riusciti a permanere nello store ufficiale dedicato alla piattaforma mobile di Google non solo per qualche ora o qualche giorno, ma addirittura per settimane e addirittura mesi, generando in tal modo un elevato numero di infezioni informatiche.

I Trojan-SMS

Nel corso del 2011 il processo di evoluzione della tipologia di malware mobile più diffusa al mondo ha subito alcuni cambiamenti. In primo luogo, i Trojan-SMS hanno cessato di rappresentare un problema solo per gli utenti di lingua russa. In secondo luogo, gli attacchi condotti attraverso tali software nocivi nei confronti degli utenti ubicati sul territorio della Federazione Russa sono divenuti più massicci e intensi. E' infine di particolare interesse rilevare come la piattaforma mobile J2ME non costituisca più il principale «habitat» dei famigerati Trojan-SMS.

Per tutto il primo semestre del 2011 i Trojan-SMS hanno continuato a dominare la scena del malware mobile, risultando notevolmente più diffusi rispetto agli altri «comportamenti» individuati per i software nocivi destinati alle piattaforme mobile. Il divario esistente ha iniziato a ridursi verso la fine dell'anno, soprattutto a causa dell'inabituale attività a cui si sono dedicati, negli ultimi tempi, i virus writer cinesi, ovverosia la creazione di un numero di programmi backdoor e Trojan-Spy.

Agli inizi del 2011, molti utenti mobile sono stati «allietati» da messaggi SMS di spam in cui si comunicava che essi avevano ricevuto un non ben precisato «regalo» MMS da parte di una certa Katja. Non vi è nulla di sorprendente, ovviamente, nel fatto che per usufruire del prezioso «omaggio», i destinatari di tali SMS avrebbero dovuto poi effettuare un download, seguendo il link. Il file JAR raggiungibile attraverso il link era, in realtà, un Trojan-SMS. In sostanza, in tutti gli invii di messaggi SMS di spam da noi rilevati, i programmi malware risultavano appartenere alla famiglia Trojan-SMS.J2ME.Smmer. Tali programmi sono provvisti di funzionalità primitive; ad ogni caso, in considerazione dell'ampiezza e del regolare protrarsi nel tempo della campagna di spam via SMS, il carattere di estrema semplicità del malware mobile non ha impedito il contagio di una considerevole quantità di dispositivi. Per dimensioni, la campagna di spam mobile ha superato tutte le campagne sino ad allora realizzate. Ne è conseguito che i telefoni cellulari di decine di migliaia di utenti sono risultati regolarmente sottoposti al rischio di infezione informatica.

Negli anni 2008, 2009 e 2010 la piattaforma mobile per la quale venivano creati i programmi Trojan-SMS è risultata essere J2ME. Il 2011 ha tuttavia apportato cambiamenti a tale situazione, per cui, al momento attuale, sono invece i Trojan-SMS appositamente sviluppati per il sistema operativo Android ad acquisire un livello sempre maggiore di popolarità e di diffusione. Questi ultimi, in sostanza, non si differenziano in alcun modo dai propri «fratelli» dedicati all'OS Java 2 Micro Edition. I metodi di mascheramento utilizzati sono del tutto simili: i Trojan-SMS per Android si presentano principalmente sotto forma di imitazioni di applicazioni legittime, quali ad esempio Opera o JIMM e al pari dei programmi Trojan creati per la piattaforma J2ME vengono distribuiti attraverso i programmi di partenariato; ne deriva il fatto che, spesso, un'unica partnership (altrimenti detta anche «programma di affiliazione») risulti specializzata sia nella diffusione di malware mobile per Java 2 Micro Edition, sia nella distribuzione di software specificamente creati per il sistema operativo Android.

Fino al 2011, i Trojan-SMS erano per la maggior parte destinati agli utenti di dispositivi mobile ubicati in Russia, Ukraina e Kazakhstan. Nel corso dell'anno 2011, tuttavia, hanno iniziato a creare e diffondere attivamente i programmi Trojan-SMS anche i virus writer cinesi. Ad ogni caso, i malware mobili provvisti unicamente delle specifiche funzionalità che caratterizzano i Trojan-SMS non hanno acquisito un particolare grado di popolarità presso gli autori di virus operanti entro i confini del territorio della Repubblica Popolare Cinese. Così, la funzionalità che prevede l'invio di messaggi SMS verso numeri brevi a pagamento costituisce solo una semplice aggiunta al già vasto corredo di comportamenti maligni di cui sono dotati i malware mobile provenienti dalla Cina.

E' di particolare rilevanza sottolineare come siano stati individuati anche i primi attacchi diretti nei confronti di utenti situati in Europa ed in America Settentrionale. Uno dei «pionieri» in tal senso si è rivelato essere il programma Trojan classificato come GGTracker, destinato a colpire i dispositivi mobile degli utenti statunitensi. Si tratta di un'applicazione nociva camuffata sotto forma di utility preposta a ridurre il consumo della batteria dello smartphone; in realtà, tramite l'utilizzo dei messaggi SMS, provvede ad effettuare l'iscrizione dell'ignaro utente-vittima ad un costoso servizio a pagamento.

Un altro chiaro esempio di tale genere di comportamento è rappresentato dalla famiglia di Trojan-SMS denominata Foncy. Malgrado le funzionalità primitive di cui tale famiglia di malware è provvista, Foncy è divenuto il primo software ad essere destinato agli utenti di dispositivi mobile situati in Europa Occidentale e in Canada. Successivamente, alcune varianti del malware hanno provveduto ad attaccare non solo gli apparecchi di utenti ubicati in Canada e in vari paesi dell'Europa Occidentale, ma anche numerosi dispositivi situati negli Stati Uniti, in Sierra Leone e in Marocco. Vi sono diversi elementi che inducono a presumere che gli autori del programma malware non si trovino sul territorio della Federazione Russa.

Il programma Trojan classificato come Foncy si caratterizza per due peculiarità. In primo luogo la sua spiccata «internazionalità». Il malware in questione è difatti in grado di determinare qual è il paese di riferimento della SIM card presente nel dispositivo infettato e, a seconda del paese individuato, provvede poi a modificare sia il prefisso che il numero di telefono al quale inviare il messaggio SMS.


Elenco parziale dei numeri brevi di vari paesi presenti nel corpo del trojan Foncy

In secondo luogo, il Trojan sopra menzionato invia ai malintenzionati un report relativo alle attività condotte. In genere il malware Foncy, a totale insaputa dell'utente-vittima, provvede ad inviare un messaggio SMS verso un numero breve, relativo al pagamento di un qualche servizio. Può trattarsi, nella circostanza, dell'accesso ai contenuti di un sito o ad uno specifico archivio, oppure dell'iscrizione alle newsletter emanate da un determinato sito web. In risposta giunge un SMS con la conferma del pagamento effettuato, che viene immediatamente nascosto all'utente del dispositivo dal programma nocivo. Il trojan Foncy invia poi il testo di tali conferme, al pari dei numeri brevi dai quali esse provengono, ai propri «padroni». Inizialmente tali informazioni venivano trasmesse tramite SMS al numero telefonico predisposto dai malintenzionati. Le successive varianti del Trojan prevedono invece l'invio delle informazioni direttamente al server allestito dai cybercriminali.


La procedura eseguita dal Trojan per l'inoltro di determinati messaggi SMS in arrivo

E' evidente che in tal modo i malintenzionati possono ricevere tutte le informazioni relative al numero di messaggi SMS inviati a pagamento, ed al numero di dispositivi mobili infettati da Foncy.

Man-in-the-M(iddle)obile

Il primo attacco informatico eseguito con l'ausilio della tecnica denominata Man-in-the-Mobile è avvenuto nel 2010. Tale genere di attacchi, tuttavia, ha conosciuto un significativo sviluppo solo nel 2011, quando sono comparse le versioni dei malware ZitMo e SpitMo destinate a varie piattaforme mobile (ZitMo per Windows Mobile, ZitMo e SpitMo per Android); inoltre, i cyber criminali hanno gradualmente perfezionato le funzionalità presenti in tali software nocivi.

I programmi trojan ZitMo (ZeuS-in-the-Mobile) e SpitMo (SpyEye-in-the-Mobile), preposti a «lavorare in coppia» con i programmi ZeuS e SpyEye «classici», fanno indubbiamente parte del novero dei malware mobile più complessi e sofisticati individuati in questi ultimi tempi. Ricapitoliamo brevemente le loro peculiarità:

  • Il «lavoro in coppia». Presi in separata sede, ZitMo o SpitMo altro non sono che spyware ordinari, in grado di provvedere all'inoltro di messaggi SMS. Tuttavia, il loro utilizzo in coppia con i programmi ZeuS o SpyEye «di stampo classico» ha consentito di poter superare la pur linea di difesa rappresentata dall'utilizzo del codice segreto mTAN nell'effettuazione delle transazioni bancarie.
  • La loro stretta «specializzazione». I due Trojan per piattaforme mobile sopra menzionati provvedono ad inoltrare verso il numero di telefono predisposto o verso il server allestito da questi ultimi i messaggi SMS in arrivo contenenti il codice mTAN; gli SMS così «dirottati» vengono poi utillzzati dai cybercriminali per confermare le operazioni finanziarie eseguite tramite i conti bancari violati.
  • Spiccate caratteristiche «cross-platform». Sono state individuate versioni di ZitMo per Symbian, Windows Mobile, Blackberry e Android; riguardo a SpitMo, sono state invece rilevate specifiche versioni per le piattaforme mobili Symbian e Android.

Forse, tra gli eventi più importanti che si sono prodotti nel panorama del malware mobile mondiale, occorre sottolineare la conferma dell'esistenza di una versione del programma trojan ZitMo dedicata a Blackberry, così come la comparsa di versioni di ZitMo e SpitMo sviluppate per il sistema operativo Android. Questo secondo caso si rivela di particolare interesse, in quanto la piattaforma mobile più diffusa in assoluto, per un periodo di tempo piuttosto lungo, non era stata fatta oggetto di attenzioni da parte degli autori di ZitMo e SpitMo.

In futuro continueranno ad aver luogo gli attacchi informatici eseguiti per mezzo di ZitMo, SpitMo od altri programmi malware provvisti di funzionalità simili, assalti volti a realizzare - in un modo o nell'altro - il furto del codice mTAN (e forse di ulteriori informazioni di natura segreta trasmesse tramite gli SMS). E' tuttavia molto probabile che, con il trascorrere del tempo, tali attacchi assumano un carattere sempre più «mirato» e producano quindi un numero di «vittime» decisamente contenuto.

I codici QR: un nuovo metodo di diffusione del malware mobile

I codici QR stanno acquisendo un grado di popolarità sempre maggiore e vengono ormai utilizzati per la realizzazione di pubblicità di vario genere, per la creazione di badge, etc.; i codici a barre bidimensionali consentono un rapido accesso a determinate informazioni. E' proprio per le ragioni sopra indicate che i primi attacchi eseguiti con l'impiego di codici QR nocivi non hanno per noi rappresentato motivo di sorpresa.

Al giorno d'oggi, le persone che fanno uso di smartphone sono spesso alla ricerca di software per il proprio dispositivo mobile tramite i computer ordinari. In tal caso, per poter effettuare sullo smartphone il download dei programmi selezionati, l'utente dovrà provvedere ad inserire manualmente, sul browser del proprio telefono, l'URL relativo al sito web individuato navigando in Rete con il computer. Si tratta, ovviamente, di un'operazione piuttosto macchinosa, di sicuro non molto gradita; in tal modo, sui siti web che offrono programmi per smartphone vengono in genere messi a disposizione degli utenti appositi QR code.

Molti programmi nocivi (in particolar modo i Trojan-SMS) vengono distribuiti attraverso siti web in cui tutti i software disponibili risultano poi essere nocivi. All'interno di tali siti, in aggiunta ai link volti a condurre il navigatore verso il download di insidiosi malware, i cyber criminali hanno iniziato a far uso di codici QR nocivi, tramite i quali vengono abitualmente codificati link preposti a dirigere il malcapitato utente verso i medesimi programmi.

Nella circostanza, sono stati dei cybercriminali russi a testare per primi questa “rivoluzionaria” tecnologia; dietro a QR code apparentemente innocui, hanno celato pericolosi Trojan-SMS creati per le piattaforme mobili Android e J2ME.


Esempio di codice QR maligno

Al momento attuale, gli attacchi informatici eseguiti ricorrendo all'uso dei codici QR non sono ancora divenuti popolari nel mondo della cyber criminalità. Il fatto è che, in genere, le tecnologie che riescono a guadagnare il favore degli utenti, divengono ben presto «oggetti» molto interessanti anche per gli stessi malintenzionati. Oltretutto, i codici QR nocivi vengono utilizzati non da singoli virus writer (o da singoli gruppi di autori di virus), ma risultano distribuiti su larga scala attraverso i noti programmi di partenariato, fattore destinato a determinare un considerevole aumento del livello di popolarità del suddetto genere di codici nocivi.

Hacktivismo mobile: gli inizi

Nel corso del 2011 è stato da noi osservato un picco nelle attività svolte da quei malintenzionati della Rete non animati dall'irrefrenabile desiderio di facili guadagni, bensì spinti da sentimenti di protesta o da una sete di vendetta nei confronti di personaggi politici, enti statali, organi governativi e grandi corporation. Un considerevole numero di hacker politicamente motivati è così riuscito a penetrare all'interno di sistemi informatici protetti, rendendo pubblici i dati riservati di centinaia di migliaia di persone in tutto il mondo; alcuni dei sistemi IT più avanzati dal punto di vista tecnologico hanno dovuto sottostare a violenti attacchi DDoS (Distributed-Denial-of-Service) condotti attraverso estese botnet di hacktivisti.

Possono essere ricollegati al fenomeno dell'hacktivismo anche programmi malware il cui funzionamento persegue chiaramente un'evidente connotazione politica. Software del genere hanno fatto la loro comparsa anche nell'universo dei dispositivi mobile.

Citiamo, in primo luogo, la minaccia IT da noi identificata come Trojan-SMS.AndroidOS.Arspam, rivolta agli utenti di smartphone ubicati in paesi arabi. Si tratta di un programma Trojan elaborato sotto forma di applicazione-bussola, recante coordinate geografiche e varie altre informazioni, diffusosi all'interno di numerosi forum tenuti in lingua araba. La principale funzionalità posseduta dal Trojan in questione consiste nell'invio di messaggi SMS - contenenti un link ad un forum dedicato a Mohamed Bouazizia contatti memorizzati nel dispositivo infetto, nella circostanza selezionati dal malware in maniera del tutto casuale. Ricordiamo che Mohamed Bouazizi è l'attivista tunisino divenuto simbolo delle sommosse popolari che hanno percorso la Tunisia a cavallo tra il 2010 e il 2011, sfociate nella cosiddetta Rivoluzione dei Gelsomini, immolatosi (dandosi fuoco) in segno di protesta per le gravi condizioni politico-economiche in cui versava il suo paese.

In aggiunta a quanto sopra specificato, Arspam cerca di determinare il codice ISO del paese in cui viene utilizzato lo smartphone contagiato. Se, nella circostanza, il valore rilevato corrisponde a “BH” (Bahrain), il malware analizzato cerca di scaricare sullo smartphone un file PDF contenente una relazione della Bahrain Independent Commission of Inquiry (BICI) inerente ad episodi di violazione dei diritti umani.

Al momento attuale, il Trojan-SMS denominato Arspam costituisce l'unico esempio di malware mobile di stampo “hacktivista”; si può tuttavia presupporre che nel corso del 2012 ci imbatteremo nuovamente in programmi del genere.

Conclusioni

Il 2011 può essere senza ombra di dubbio considerato come uno degli anni chiave nell'evoluzione delle minacce IT specificamente create dai virus writer per colpire smartphone, cellulari e altri dispositivi mobile. Tale affermazione trova fondamento nella crescita del numero di malware mobile presenti nel panorama della cyber criminalità. In secondo luogo, il 2011 è stato caratterizzato da una scelta compiuta dai malintenzionati, quella di orientarsi in maniera decisa verso il sistema operativo Android quale piattaforma prediletta per l'esecuzione dei loro attacchi. Lo scorso anno ha visto i criminali informatici ricorrere in misura sempre maggiore a processi automatizzati per la creazione e la diffusione di programmi nocivi.

Per quello che riguarda il 2012, è lecito presupporre che nel campo della virologia mobile, possano prodursi le seguenti situazioni:

  • Ulteriore crescita del grado di interesse nei confronti della piattaforma Android da parte degli autori di malware destinati ai dispositivi mobile; gli “sforzi” di tali virus writer risulteranno quindi orientati verso la creazione di programmi in grado di colpire il sistema operativo mobile sviluppato da Google.
  • Aumento del numero degli attacchi informatici eseguiti attraverso lo sfruttamento delle vulnerabilità. Se per il momento gli exploit vengono utilizzati solo per ottenere i diritti di root sullo smartphone, per il 2012 ci attendiamo l'esecuzione dei primi attacchi in cui gli exploit saranno invece impiegati per infettare direttamente il sistema operativo preso di mira.
  • Aumento del numero degli incidenti virali dovuti a programmi malware distribuiti attraverso i negozi ufficiali online di applicazioni per piattaforme mobile, in particolar modo tramite Android Market.
  • Apparizione dei primi worm di massa per Android.
  • Significativa diffusione di pratiche di spionaggio condotte attraverso i dispositivi mobili.