Le minacce IT per dispositivi mobili - 2013

24 feb 2014
Notizie Virus

Victor Chebyshev
Roman Unuchek

Sommario

L'industria del malware mobile sta attraversando una fase di rapida evoluzione, sia dal punto di vista tecnologico che strutturale. Possiamo senza ombra di dubbio affermare che, attualmente, il cybercriminale non rappresenta più una sorta di "pirata" solitario, quanto, piuttosto, un vero e proprio anello di un "serio" processo di business illecito di notevoli proporzioni.

Ormai, tra coloro che partecipano alla conduzione di attività criminose legate alla diffusione e allo sfruttamento di temibili programmi malware, traspare in tutta evidenza una chiara e sempre più netta suddivisione dei ruoli; emergono in tal modo, ben distinte tra loro, numerose categorie di malfattori informatici: i virus writer, i tester, coloro che progettano l'interfaccia delle applicazioni nocive e delle pagine web preposte alla distribuzione di tali software nocivi. Il lungo elenco comprende, inoltre, i titolari dei programmi di partenariato dediti alla diffusione su larga scala del malware, nonché i proprietari delle famigerate botnet mobili.

La suddivisione dei ruoli tra le varie categorie di cybercriminali è ugualmente testimoniata dallo specifico comportamento dei programmi Trojan da questi ultimi dispiegati. Nel 2013, ad esempio, si sono registrati vari episodi di collaborazione (molto probabilmente su base commerciale) tra i vari gruppi di virus writer. In un caso specifico, la botnet basata sul malware denominato Trojan-SMS.AndroidOS.Opfake.a, oltre allo svolgimento delle proprie attività nocive, si è ampiamente dedicata alla diffusione del sofisticato e complesso malware mobile classificato dagli esperti di sicurezza IT come Backdoor.AndroidOS.Obad.a, mediante la conduzione di appositi mailing di spam dannoso (realizzati sulla base degli indirizzi presenti negli elenchi dei contatti custoditi negli smartphone-vittima), recanti ai destinatari delle e-mail messaggi di posta elettronica contenenti link dannosi, che inducevano i malcapitati a fare il download del malware.

L'industria del malware mobile, come potete voi stessi giudicare sulla base di quanto sopra esposto, ha ormai preso decisamente forma; essa appare, tra l'altro, sempre più orientata verso la rapida realizzazione, da parte dei malintenzionati, di consistenti profitti illeciti; tale elemento emerge in maniera molto chiara analizzando in dettaglio le specifiche funzionalità di cui sono provvisti gli attuali programmi malware destinati ai dispositivi mobili.

Il 2013 in cifre

  • Lungo tutto l'arco dell'anno oggetto del presente report sono state da noi complessivamente individuate 143.211 nuove varianti di programmi malware specificamente creati dai virus writer per infettare i dispositivi mobili (dati statistici aggiornati al 1° gennaio 2014).
  • Nel 2013, per realizzare la diffusione dei malware mobili, i cybercriminali si sono complessivamente avvalsi di circa 4 milioni di pacchetti di installazione (per l'esattezza 3.905.502). In totale, nell'arco di tempo che abbraccia il 2012 ed il 2013, abbiamo individuato circa 10 milioni di pacchetti unici di installazione recanti contenuti dannosi:

 
Numero complessivo di pacchetti di installazione dannosi rilevati nel periodo 2012-2013 


Occorre, nella circostanza, tenere in debita considerazione il fatto che pacchetti di installazione diversi possono generare l'installazione, sul dispositivo mobile, di programmi malware aventi le stesse identiche funzionalità; talvolta, la differenza può consistere esclusivamente nell'interfaccia di cui è provvista l'applicazione nociva; in altri casi, risulta magari diverso il contenuto dei messaggi SMS inviati tramite l'applicazione nociva.

  • Così come in precedenza, la piattaforma Android continua a rimanere di gran lunga il principale obiettivo degli attacchi nocivi lanciati dai cybercriminali nei confronti dei dispositivi mobili. In effetti, addirittura il 98,05% del numero complessivo di malware mobili individuati dagli esperti di sicurezza IT nel corso dell'anno 2013 è risultato essere destinato al sistema operativo di Mountain View, tradizionalmente simboleggiato dal piccolo robot verde. Ciò testimonia in maniera inequivocabile sia la vastissima popolarità ormai raggiunta a livello planetario dall'OS Android, sia la vulnerabilità intrinseca dell'architettura che contraddistingue tale piattaforma mobile.

 
Ripartizione dei programmi malware mobili, individuati nel corso del 2013,
in relazione alle varie piattaforme esistenti

  • La maggior parte dei malware mobili attualmente in circolazione è stata appositamente progettata dai virus writer allo scopo di sottrarre illecitamente significative somme di denaro agli utenti-vittima. Risultano specializzati nella conduzione di attività nocive riconducibili a tale specifica tipologia cybercriminale i famigerati Trojan-SMS, numerosi programmi Backdoor ed una parte dei programmi nocivi appartenenti alla categoria dei Trojan.

 
Suddivisione dei programmi malware per OS mobili in base ai diversi comportamenti
evidenziati da tali software nocivi

  • Nel breve volgere di un anno il numero delle varianti di malware mobile - impiegate dai malintenzionati nell'ambito di estese operazioni di phishing, per realizzare il furto delle informazioni sensibili relative alle carte di credito e per sottrarre denaro dagli account bancari degli utenti - è aumentato di ben 19,7 volte.  Nel corso del 2013 i prodotti Kaspersky Lab appositamente sviluppati per assicurare la protezione IT dei dispositivi mobili hanno scongiurato il manifestarsi di 2.500 potenziali infezioni informatiche generate dai cosiddetti Trojan "bancari".

Metodi e tecnologie adottati dai cybercriminali per infettare i dispositivi mobili

Lungo tutto l'arco del 2013, i virus writer dediti allo sviluppo dei malware mobili hanno non soltanto incrementato in maniera radicale il numero delle proprie "creature" nocive, ma hanno ugualmente utilizzato, in maniera decisamente attiva, una vasta gamma di metodi e tecnologie in grado di consentire ai cybercriminali di poter sfruttare i programmi dannosi, progressivamente lanciati sulla scena del malware mobile, in modo ancor più efficace e redditizio. Le analisi condotte dai nostri esperti hanno permesso di evidenziare alcuni specifici orientamenti e particolari tendenze seguite dai malfattori nelle varie fasi di sviluppo e diffusione del malware mobile.

Modalità di diffusione del malware mobile

Per infettare i dispositivi mobili degli utenti-vittima i cybercriminali si sono avvalsi di metodi particolarmente ingegnosi.

Infezione di risorse web del tutto legittime. Tale metodo offre ai malintenzionati l'opportunità di poter distribuire i programmi malware destinati alle piattaforme mobili attraverso siti web che godono di notevole popolarità presso il pubblico della Rete. Come è noto, al giorno d'oggi, un numero sempre maggiore di utenti utilizza il proprio smartphone o il proprio tablet per accedere ad Internet ed esplorare le sconfinate praterie del World Wide Web, non tenendo, purtroppo, nella dovuta considerazione il fatto che anche la risorsa web più "solida" ed affidabile potrebbe essere stata violata e compromessa dagli hacker. I dati da noi raccolti ed elaborati hanno evidenziato come lo 0,4% dei siti web visitati dagli utenti dei nostri prodotti fosse direttamente riconducibile a risorse web violate dai malintenzionati e, di conseguenza, infettate da temibili malware.

Diffusione attraverso i cosiddetti app store alternativi. Il continente asiatico annovera un elevato numero di aziende specializzate nella produzione di dispositivi Android e nello sviluppo di applicazioni destinate a tale sistema operativo mobile; molte di tali società, inoltre, offrono agli utenti di smartphone e tablet un proprio negozio di applicazioni, nel quale, di solito, vengono ospitati programmi non inseriti in Google Play (l’ex Android Market), l'app store ufficiale allestito dal gigante di Mountain View. I controlli eseguiti sulle applicazioni caricate negli app store alternativi risultano essere, spesso, puramente nominali, e quindi scarsamente efficaci; ciò consente ai malintenzionati di poter collocare all'interno di tali negozi di applicazioni, quasi indisturbati, i propri programmi Trojan, mascherati sotto forma di giochi od utility in apparenza del tutto legittimi.

Diffusione attraversole botnet. In genere, i bot si diffondono mediante l'invio di un apposito messaggio SMS, contenente un link dannoso, a tutti i numeri telefonici presenti nell'elenco dei contatti custodito nello smartphone-vittima. E' stato ugualmente individuato un caso specifico in cui la distribuzione del malware si è prodotta attraverso una rete-zombie gestita da terze parti.

Metodi utilizzati per cercare di ostacolare la rimozione del malware mobile da parte degli strumenti di protezione IT

Un orientamento particolarmente significativo, seguito dalla maggior parte dei virus writer nel processo di sviluppo del malware mobile, è indubbiamente rappresentato dal conferire ai software nocivi destinati a smartphone e tablet la capacità e le doti necessarie per poter "operare" il più a lungo possibile all'interno del dispositivo mobile sottoposto ad attacco informatico. Di fatto, quanto più esteso sarà il ciclo di "vita" del Trojan sull'apparato mobile da esso contagiato, tanto maggiore sarà il profitto che i cybercriminali potranno ottenere attraverso le attività illecite condotte per mezzo del malware di volta in volta dispiegato. I virus writer sembrano essere particolarmente attivi in tale specifica direzione, visto l'elevato numero di novità tecnologiche che essi riescono costantemente ad esprimere ed introdurre nei "prodotti" via via rilasciati; senza ombra di dubbio, le costanti "innovazioni" tecniche presentate dagli autori di malware mobile attraverso le loro "creature" rappresentano il frutto di accurate ed approfondite ricerche.

I malintenzionati ricorrono sempre più di frequente al processo di offuscamento del codice nocivo da essi elaborato; tale tecnica viene applicata allo scopo di rendere oltremodo complessa la successiva analisi del malware da parte degli esperti di sicurezza IT. In sostanza, quanto più sofisticato risulta essere il metodo di offuscamento utilizzato dai virus writer, tanto maggiore sarà l'intervallo di tempo che trascorrerà prima che le soluzioni antivirus implementate nei dispositivi mobili degli utenti possano di fatto neutralizzare, con assoluta certezza, il "prodotto" dannoso in questione. Assume inoltre particolare rilievo il fatto che, al momento attuale, gli autori di malware mobile dispongano di "offuscatori", ovvero programmi di offuscamento del codice disponibili sul mercato nero della cybercriminalità, i quali comportano, spesso, un "investimento" di somme di denaro piuttosto considerevoli da parte dei malintenzionati di turno. Ad esempio, per confezionare le varianti di Trojan classificate rispettivamente con la denominazione di Opfak.bo e Obad.a, i virus writer hanno fatto ricorso ad un offuscatore "commerciale" il cui costo è attualmente stimato in circa 350 euro.

Le vulnerabilità individuate nell'OS Android vengono di solito sfruttate dai malintenzionati per eludere i controlli di integrità abitualmente eseguiti sul codice di cui si compone l'applicazione, nel momento stesso in cui quest'ultima viene installata sul dispositivo mobile (vulnerabilità Master Key), così come per innalzare i privilegi delle applicazioni nocive nell'ambito del sistema sottoposto ad attacco (tale procedura illecita amplifica notevolmente le capacità offensive del programma malware mobile), nonché rendere particolarmente complessa la rimozione del software nocivo da parte degli strumenti di protezione IT implementati nel dispositivo. Il malware mobile Svpeng, ad esempio, si avvale di una determinata vulnerabilità Android, in precedenza sconosciuta, per auto-proteggersi nei confronti di eventuali procedure di rimozione, le quali, di fatto, possono essere eseguite sia in forma manuale, sia tramite la soluzione antivirus adottata dall'utente.

Allo stesso modo, i cybercriminali, sfruttando la vulnerabilità Master Key, falla di sicurezza critica scoperta nella piattaforma mobile in questione, sono riusciti a realizzare l'introduzione di file eseguibili, privi di firma digitale, in vari pacchetti di installazione di programmi sviluppati per l'OS Android. Nello specifico, la verifica della firma digitale viene bypassata grazie ad un preciso stratagemma; in effetti, al file maligno viene assegnato lo stesso identico nome del file legittimo; inoltre, il file nocivo viene collocato, all'interno dell'archivio compresso, al medesimo livello del file di cui costituisce, in pratica, il "duplicato". In tal modo, il sistema operativo Android procede alla verifica della firma digitale relativa al file legittimo, mentre, di fatto, viene avviata l'installazione del file dannoso.

Occorre purtroppo tenere in considerazione il fatto che le vulnerabilità Android devono giocoforza sottostare ad una specificità che si rivela tutt'altro che gradevole; in effetti, tali falle di sicurezza possono essere risolte solo ricevendo il necessario aggiornamento da parte del produttore del dispositivo mobile: ora, è noto a tutti come molti di tali costruttori sembrino non affrettarsi più tanto nell'effettuare gli indispensabili update del sistema operativo installato sui propri prodotti. Se, ad esempio, il vostro smartphone o il vostro tablet sono stati rilasciati più di un anno fa, con ogni probabilità il supporto tecnico inizialmente garantito dal produttore risulterà già interrotto, per cui non si potrà più contare su di esso per chiudere rapidamente eventuali vulnerabilità. In tal caso, si rivelerà essere di aiuto solo un'adeguata soluzione antivirus, quale, nella fattispecie, Kaspersky Internet Security for Android.

Introduzione di codice maligno all'interno di programmi pienamente legittimi: tale metodo dannoso permette ai malintenzionati di poter nascondere efficacemente, all'utente-vittima, il prodursi dell'infezione informatica. Ovviamente, l'iniezione di codice nocivo non consente di poter utilizzare in maniera illecita la firma digitale rilasciata dallo sviluppatore del programma, ma, a causa dell'assenza di autorità di certificazione per le firme digitali relative ai programmi Android, nulla impedisce ai malintenzionati di apporre la propria firma, cosa che, in effetti, essi fanno abitualmente. Così, un'applicazione del tipo di Angry Birds - che in apparenza, magari, funziona in maniera del tutto normale - installata attraverso un app store non ufficiale, oppure scaricata tramite un forum, può in realtà rivelarsi ugualmente dotata di temibili funzionalità dannose.

Principali funzionalità e potenzialità degli attuali malware mobili

Nel corso del 2013, analizzando i nuovi oggetti maligni comparsi sulla scena del malware mobile, i nostri esperti hanno individuato alcune interessanti "novità" tecnologiche elaborate dai virus writer, via via implementate nei software dannosi da essi rilasciati. Esamineremo, qui di seguito, le "innovazioni" più significative, dal punto di vista tecnico, apportate alla sfera dei programmi maligni appositamente concepiti per attaccare i sistemi operativi mobili.

La possibilità di gestire il malware da un unico centro di comando e controllo garantisce la massima flessibilità nell'utilizzo del software nocivo dispiegato dai malintenzionati. Le botnet, di fatto, consentono ai cybercriminali di ottenere profitti illeciti significativamente superiori rispetto agli introiti che essi possono ricavare dall'impiego di programmi Trojan del tutto autonomi ed indipendenti. Non costituisce quindi motivo di particolare sorpresa il fatto che numerosi Trojan-SMS risultino ugualmente provvisti di specifiche funzionalità di bot. Secondo le nostre stime, circa il 60% del malware mobile attualmente in circolazione è rappresentato da oggetti nocivi utilizzati dai malintenzionati per l'allestimento e la gestione di botnet mobili, grandi e piccole.

Gestione e controllo del malware attraversoGoogle Cloud Messaging - Tale metodo consente ai proprietari delle botnet di poter fare completamente a meno del tradizionale server C&C (Command&Control Centre); ciò elimina la potenziale e sempre incombente minaccia di un eventuale rilevamento di quest'ultimo e della sua conseguente chiusura da parte delle forze di cyberpolizia. Il servizio Google Cloud Messaging (GCM) è stato appositamente allestito per trasmettere ai dispositivi mobili messaggi di dimensioni contenute (massimo fino a 4 Kb) tramite i server di Google. Per potersene avvalere, uno sviluppatore dovrà semplicemente registrarsi ad esso, ricevendo in tal modo un ID univoco relativo alle proprie applicazioni. L'esecuzione dei comandi ricevuti attraverso Google Cloud Messaging viene realizzata attraverso il servizio GCM stesso; non si rivela pertanto possibile poter bloccare tali comandi direttamente sul dispositivo infettato dal malware.

Nel corso dell'anno oggetto del presente report, i nostri esperti hanno individuato vari programmi malware mobili preposti ad utilizzare il servizio GCM per lo svolgimento delle abituali operazioni di gestione e controllo: citiamo, tra di essi, il software nocivo classificato come Trojan-SMS.AndroidOS.FakeInst.a, largamente diffuso nel mondo della cybercriminalità; si aggiungono poi, a tale lista, le varianti Trojan-SMS.AndroidOS.Agent.ao, Trojan-SMS.AndroidOS.OpFake.a e numerosi altri programmi malware per dispositivi mobili. La società Google contrasta in maniera molto decisa ed attiva l'utilizzo illecito che viene fatto di tale servizio, bloccando gli ID facenti capo ai malintenzionati, e reagendo con estrema rapidità alle segnalazioni quotidianamente effettuate dalle aziende produttrici di soluzioni antivirus.

Attacchi nei confronti diWindows XP - Essi consentono al malware mobile di infettare un personal computer nel momento in cui a quest'ultimo viene collegato uno smartphone o un tablet. All'inizio del 2013 abbiamo individuato, all'interno di Google Play, due applicazioni del tutto identiche, sviluppate, apparentemente, per realizzare determinate operazioni di pulizia del sistema operativo mobile installato sui dispositivi Android, ed in particolar modo per eliminare i processi divenuti ormai inutili. In realtà, il compito che si prefiggono tali applicazioni è quello di effettuare il download del file <autorun.inf>, così come del file relativo all'icona e del file win32 recato dal Trojan; il malware mobile in causa provvede poi a collocare i file sopra elencati nella directory root della SD card. Nella circostanza, non appena l'utente collega il proprio smartphone, in modalità di emulazione USB, al computer provvisto di sistema operativo Windows XP, viene automaticamente lanciata l'esecuzione del Trojan (se la funzione di autorun da supporti rimovibili non risulta disabilitata) e, conseguentemente, viene avviato il processo di infezione del PC. Il Trojan in questione permette ai malintenzionati di poter controllare da remoto il computer dell'utente-vittima ed è inoltre in grado di registrare l'audio proveniente dal microfono. Sottolineiamo come tale metodo di attacco funzioni esclusivamente con Windows XP e con le versioni dell'OS mobile Android sino alla 2.2 (inclusa).

Al giorno d'oggi, i malware mobili più avanzati e sofisticati dal punto di vista tecnologico risultano indubbiamente essere i Trojan finalizzati ad ottenere guadagni illeciti attingendo direttamente alla fonte di denaro primaria ed in assoluto più allettante per ogni malintenzionato senza scrupoli, ovvero i conti bancari altrui.

La tendenza emergente dell’anno: i Trojan bancari mobili

L'anno 2013 è stato caratterizzato da un forte e repentino aumento, sulla scena del malware mobile, del numero dei Trojan bancari "dedicati" all'OS Android. Il segmento della cyberindustria nociva che sforna in continuazione temibili programmi nocivi preposti a colpire i dispositivi mobili si sta sempre di più focalizzando verso l'ottenimento di consistenti profitti illeciti mediante l'impiego di metodi e strumenti particolarmente efficaci: il phishing mobile, il furto delle informazioni sensibili relative alle carte di credito, il trasferimento di denaro dalle credit card verso gli account telefonici mobili e, da qui, sui wallet elettronici dei malfattori (questi ultimi si sono ad esempio avvalsi di wallet disponibili attraverso QIWI, il noto sistema di pagamento elettronico particolarmente diffuso in Russia e nei paesi che attualmente occupano lo spazio geografico post-sovietico). I cybercriminali "mobili", nel corso dell'anno analizzato nel presente report, hanno fatto ampiamente ricorso ai suddetti metodi, in grado di generare considerevoli guadagni illeciti: basti pensare che, all'inizio del 2013, era nota l'esistenza di "soli" 67 Trojan bancari, mentre, per la fine dell'anno, il loro numero si era già moltiplicato in maniera esponenziale, con ben 1321 sample di malware unici da noi raccolti. Nel 2013, come abbiamo visto, i prodotti Kaspersky Lab sviluppati per assicurare la protezione dei dispositivi mobili hanno complessivamente neutralizzato 2.500 tentativi di infezione da parte di oggetti maligni riconducibili alla categoria dei Trojan-banker.

 
Numero di sample di Trojan bancari mobili presenti nella nostra “collezione”

I banker mobili sono in grado di operare in abbinamento con i programmi Trojan specificamente elaborati per colpire le architetture Win-32; tale combinazione di malware viene di solito utilizzata dai cybercriminali allo scopo di eludere i sistemi di autenticazione a due fattori, mediante il furto dei codici segreti mTAN (tali codici, trasmessi dalle banche ai propri clienti attraverso appositi messaggi SMS, consentono di confermare l'esecuzione della transazione bancaria in corso). Nel corso del 2013, tuttavia, abbiamo assistito ad un ulteriore sviluppo dei Trojan bancari mobili in grado di agire autonomamente. Tali programmi Trojan, per il momento, attaccano esclusivamente i clienti di un numero limitato di banche; è tuttavia lecito attendersi che i malfattori possano elaborare, in tempi brevi, nuove tecnologie e nuovi strumenti in grado di ampliare il numero delle potenziali vittime e l'estensione geografica di tali attività cybercriminali.

 
Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti dai Trojan bancari destinati ai dispositivi mobili

Attualmente, la maggior parte dei Trojan-banker viene utilizzata dai cybercriminali per portare attacchi nei confronti degli utenti mobili ubicati sul territorio della Federazione Russa e nei paesi che fanno parte della Comunità degli Stati Indipendenti (CSI). Tale situazione, tuttavia, sembra destinata a non protrarsi a lungo, visto il crescente interesse manifestato dai malintenzionati riguardo agli account bancari degli utenti; nel 2014, quindi, è lecito attendersi una significativa crescita del livello di attività dei Trojan bancari mobili in vari altri paesi del globo.

Come già accennato in precedenza, tra tutte le minacce IT che, al giorno d'oggi, popolano il torbido panorama del malware mobile, i Trojan bancari rappresentano, indubbiamente, la tipologia di software nocivo più complessa in assoluto. In tal senso, uno degli esempi più manifesti è di sicuro costituito dal trojan Svpeng.

Svpeng

Verso la metà del mese di luglio 2013, i nostri esperti hanno individuato il malware mobile Trojan-SMS.AndroidOS.Svpeng.a, il quale, a differenza degli altri "confratelli" appartenenti alla categoria dei Trojan-SMS, è risultato essere esplicitamente rivolto al furto del denaro presente non sull'account telefonico mobile, bensì sul conto bancario vero e proprio dell'utente-vittima. Si tratta, nella fattispecie, di un oggetto maligno privo di qualsiasi forma di autonomia, preposto ad agire, rigorosamente, sulla base delle istruzioni di volta in volta ricevute dal server di comando C&C. Il suddetto malware viene diffuso sia attraverso messaggi SMS di spam, sia tramite siti web violati, la cui funzione è quella di redirigere i visitatori provvisti di dispositivo mobile verso una risorsa web nociva, appositamente allestita dai malintenzionati. Qui viene proposto al malcapitato utente di effettuare il download e l'installazione del Trojan in causa, abilmente mascherato sotto forma di aggiornamento per Adobe Flash Player.

Le funzionalità nocive di cui è provvisto il trojan Svpeng sono davvero numerose e particolarmente temibili.

Raccoglie informazioni sullo smartphone (IMEI - International Mobile Equipment Identification, paese, operatore di telefonia, lingua del sistema operativo in uso), le quali vengono poi trasmesse al "padrone" del malware tramite un'apposita richiesta HTTP POST. In tutta evidenza, tale operazione preliminare si rivela necessaria per determinare, innanzitutto, la cerchia di istituti bancari ai quali può far riferimento l'utente-vittima. Sinora il trojan Svpeng è stato rilevato solo nell'ambito di attacchi informatici condotti nei confronti dei clienti di alcune banche russe; nulla impedisce tuttavia, ai malintenzionati, di espandere il raggio d'azione di tale software nocivo anche verso altri paesi, dopo l'iniziale periodo di "rodaggio" effettuato entro i confini della Federazione Russa, relativamente alle specifiche tecnologie e funzionalità di cui esso è provvisto.

Realizza il furto dei messaggi SMS e delle informazioni relative alle chiamate vocali. Anche tali attività nocive consentono ai malintenzionati di turno di individuare i nominativi degli istituti bancari di cui risulta essere cliente il proprietario dello smartphone; nella circostanza, il Trojan riceve l'elenco dei numeri telefonici relativi alle banche direttamente dal proprio server C&C.

Sottrae denaro dal conto bancario dell'utente-vittima. In Russia, alcuni istituti di credito di primaria importanza mettono a disposizione dei propri clienti un particolare servizio grazie al quale risulta possibile ricaricare l'account del telefono mobile tramite il trasferimento di una determinata somma di denaro direttamente dalla carta di credito di cui è titolare l'utente. Per beneficiare di tale comoda opportunità, il cliente della banca dovrà semplicemente inviare dal proprio smartphone, verso uno speciale numero telefonico allestito dall'istituto bancario, un SMS dal contenuto prestabilito. Da parte sua, il trojan Svpeng provvede ad inviare appositi messaggi SMS verso i numeri relativi ai servizi SMS forniti da due di tali banche russe. In questo modo, i cybercriminali che si celano dietro Svpeng possono agevolmente determinare se le credit card rilasciate da tali banche risultano collegate o meno al numero di telefono dello smartphone infettato dal malware; una volta rilevata l'esistenza del conto bancario, i malintenzionati potranno poi venire a conoscenza del saldo in esso presente. Compiute tali operazioni, i malfattori avranno l'opportunità di impartire al trojan Svpeng un apposito comando per effettuare il trasferimento di una determinata somma di denaro dal conto bancario all'account telefonico mobile dell'utente-vittima. In seguito, il denaro furtivamente trasferito sull'account di telefonia potrà essere "spillato" attraverso varie modalità, ad esempio mediante il trasferimento della somma illecitamente carpita su un apposito portafoglio elettronico, magari tramite un account personale aperto presso l'operatore di telefonia mobile, oppure mediante il semplice invio di messaggi SMS verso numeri premium a pagamento.

Carpisce login e password utilizzati dagli utenti mobili per accedere ai sistemi di banking online, sostituendo subdolamente la finestra relativa all'applicazione preposta allo svolgimento delle operazioni bancarie. Per il momento, siamo a conoscenza di casi del genere soltanto per ciò che riguarda la sostituzione furtiva di applicazioni di Internet banking riconducibili ad istituti bancari russi; dal punto di vista tecnico, tuttavia, il trojan Svpeng risulta perfettamente in grado di falsificare con relativa facilità qualsiasi altra applicazione utilizzata per effettuare le transazioni di banking online.

Realizza il furto dei dati sensibili relativi alle carte di credito (numero, data di scadenza della validità, CVC2/CVV2), fingendo di associare la credit card dell'utente-vittima ad operazioni da svolgere all'interno di Google Play, il negozio virtuale di applicazioni per i dispositivi mobili dotati di sistema operativo Android. Più precisamente, quando si intende avviare l'esecuzione dell'applicazione Play Store, il Trojan qui analizzato provvede ad intercettare l'evento e, direttamente sopra la schermata ufficiale di Google Play, mostra all'utente la propria finestra «Aggiungi una nuova carta», nella lingua impostata dal sistema, con la precisa richiesta di inserire i dati sensibili relativi alla carta di credito. Ovviamente, nella circostanza, tutte le informazioni confidenziali introdotte andranno a finire dritte dritte nelle mani dei malintenzionati.

 

Tenta di estorcere denaro: impaurisce gli utenti-vittima simulando l'avvenuto blocco dello smartphone e provvede a mostrare un messaggio attraverso il quale si richiede il pagamento di una consistente cifra (500 dollari $) per poter procedere allo sblocco del dispositivo. In realtà, il Trojan in questione non blocca proprio un bel nulla, in quanto il telefono preso di mira può essere di fatto utilizzato senza il minimo problema.

Nasconde le tracce della propria attività all'interno del dispositivo mobile contagiato, mascherando, tra l'altro, i messaggi SMS in entrata e in uscita; al tempo stesso, il trojan Svpeng riesce a bloccare le chiamate ed i messaggi provenienti dai numeri telefonici degli istituti bancari. Ovviamente, anche il programma malware in questione riceve l'elenco di tali numeri di telefono dal proprio server C&C.

Si protegge efficacemente nei confronti dei tentativi di rimozione, richiedendo ed ottenendo, al momento dell'installazione, i privilegi avanzati di Device Administrator. Ne consegue che, nell'elenco delle applicazioni, il pulsante relativo all'eventuale procedura di rimozione del Trojan diviene automaticamente inattivo; questo, naturalmente, può rappresentare un problema davvero insormontabile per un utente alle prime armi o non particolarmente esperto. Di fatto, non risulta possibile privare il suddetto Trojan dei diritti di amministratore del dispositivo ormai acquisiti, se non utilizzando strumenti specializzati a livello di sicurezza IT, quali, ad esempio, la soluzione mobile Kaspersky Internet Security for Android. Per proteggersi nei confronti degli eventuali tentativi di rimozione, Svpeng si avvale di una particolare vulnerabilità rilevata nell'OS Android, una falla di sicurezza precedentemente sconosciuta. Con identica modalità, tale malware mobile cerca di impedire che possano essere ripristinate, nello smartphone sottoposto ad attacco, le impostazioni di fabbrica.

Il trojan Svpeng risulta diffuso sul territorio della Federazione Russa, così come nei paesi facenti parte della Comunità degli Stati Indipendenti.

Tuttavia, come abbiamo affermato in precedenza, i cybercriminali potrebbero facilmente estendere le temibili attività nocive di Svpeng anche nei confronti degli utenti mobili di altri paesi.

Perkele e Wroba

Anche gli utenti mobili ubicati in altri paesi del globo si sono ad ogni caso imbattuti in nuovi programmi nocivi, appositamente creati dai virus writer allo scopo di sottrarre illecitamente cospicue somme di denaro dagli account bancari presi di mira. 

Il trojanPerkele, ad esempio, malware preposto a colpire i dispositivi mobili provvisti di sistema operativo Android, è stato utilizzato dai malintenzionati per attaccare non solo le banche russe, ma anche vari istituti di credito situati in paesi europei. Si tratta, indubbiamente, di un software nocivo piuttosto sofisticato: Perkele risulta di particolare interesse, in primo luogo, per il fatto che esso è in grado di "operare" congiuntamente con alcuni Trojan bancari specificamente progettati per attaccare le piattaforme Win32. Il compito principale che tale malware si prefigge è quello di scardinare il sistema di autenticazione a due fattori di cui abitualmente si avvale la clientela dei servizi di banking online.

Visto il particolare scopo per il quale è stato progettato, il trojan Perkele viene diffuso con modalità alquanto insolite. Una volta infettato il PC dell'utente-vittima, il programma maligno appositamente creato per colpire i clienti degli istituti bancari (quale, ad esempio, ZeuS o Citadel), nel momento stesso in cui l'utente accede al sito di Internet banking, provvede ad iniettare nel codice che compone la pagina web relativa alle procedure di autenticazione una specifica richiesta per l'inserimento - da parte del proprietario del dispositivo mobile - del numero telefonico dello smartphone e del tipo di sistema operativo installato su quest'ultimo. Tutte le informazioni introdotte dall'utente, ovviamente, vengono subito carpite e trasmesse ai malintenzionati in agguato; nel frattempo, sullo schermo del proprio computer, l'utente sottoposto ad attacco visualizzerà un codice QR contenente un determinato link, preposto - in apparenza - a condurre il cliente della banca verso l'ottenimento di un certificato relativo al sistema di banking online utilizzato. Dopo aver effettuato la scansione del codice QR ed aver installato il componente scaricato attraverso il link sopra menzionato, l'utente infetterà inconsapevolmente il proprio smartphone con il temibile programma Trojan qui analizzato, provvisto di funzionalità estremamente interessanti per i cybercriminali che hanno ordito l'attacco.

Perkele, in sostanza, intercetta il codice segreto mTAN (tale codice, come abbiamo visto, consente di confermare l'esecuzione dell'operazione di banking online in corso), trasmesso dalla banca al proprio cliente tramite uno specifico messaggio SMS. Utilizzando il login e la password dell'utente, carpiti attraverso il browser, il trojan attivo in ambiente Windows dà inizio ad una transazione fasulla, mentre Perkele intercetta e trasmette al "fratello maggiore" (attraverso il server C&C) il codice mTAN inviato dalla banca. In tal modo, i malintenzionati si impadroniscono del denaro custodito sul conto bancario dell'utente-vittima, senza che quest'ultimo possa minimamente accorgersene.

Wroba, malware mobile di origine coreana, oltre che attraverso il tradizionale vettore di infezione, ovvero i servizi di file sharing, viene ugualmente distribuito per mezzo dei cosiddetti app store alternativi. Una volta realizzato il contagio del dispositivo mobile, Wroba assume un comportamento estremamente aggressivo. In effetti, esso ricerca immediatamente le applicazioni di mobile banking presenti sullo smartphone e provvede alla loro rimozione, per poi effettuare l'upload di applicazioni fasulle, preposte ad imitare le originali. A prima vista, i falsi programmi installati non risultano distinguibili dalle applicazioni legittime; il fatto è che essi non sono provvisti di alcuna capacità di eseguire funzionalità relative alla sfera bancaria; il loro compito, in effetti, consiste solo nel carpire login e password introdotti dall'ignaro utente.

TOP-10 dei programmi malware destinati alle piattaforme mobili - Situazione relativa al 2013

 Denominazione% sul numero complessivo di attacchi
1DangerousObject.Multi.Generic40,42%
2Trojan-SMS.AndroidOS.OpFake.bo21,77%
3AdWare.AndroidOS.Ganlet.a12,40%
4Trojan-SMS.AndroidOS.FakeInst.a10,37%
5RiskTool.AndroidOS.SMSreg.cw8,80%
6Trojan-SMS.AndroidOS.Agent.u8,03%
7Trojan-SMS.AndroidOS.OpFake.a5,49%
8Trojan.AndroidOS.Plangton.a5,37%
9Trojan.AndroidOS.MTK.a4,25%
10AdWare.AndroidOS.Hamob.a3,39%

1. DangerousObject.Multi.Generic. Tale particolare denominazione, assegnata al malware mobile che occupa la prima posizione della speciale graduatoria da noi stilata, indica che la natura dell'applicazione è già riconosciuta come maligna dagli esperti di sicurezza IT, ma, per un motivo o per l'altro, la firma che ne permette il rilevamento non fa ancora parte del database antivirus in possesso del nostro utente. In questo caso, l'individuazione del malware avviene grazie alle sofisticate tecnologie "in-the-cloud" implementate attraverso la rete globale di sicurezza Kaspersky Security Network (KSN), le quali permettono ai nostri prodotti anti-malware di poter reagire in ogni frangente, con la massima rapidità, nei confronti di minacce IT nuove o sconosciute.

2. Trojan-SMS.AndroidOS.OpFake.bo. La seconda posizione della TOP-20 relativa ai software nocivi dispiegati con maggior frequenza, nel corso del 2013, da parte dei cybercriminali intenti a sferrare attacchi informatici nei confronti dei dispositivi mobili degli utenti, è andata ad appannaggio di tale programma dannoso. Si tratta, senza ombra di dubbio, di uno dei più sofisticati e complessi rappresentanti della categoria dei Trojan-SMS. Esso si distingue per l'interfaccia particolarmente curata, così come per l'indiscutibile "avidità" dei suoi creatori. L'esecuzione del Trojan sul dispositivo mobile sottoposto ad attacco fa sì che al proprietario del telefono venga sottratta una considerevole somma di denaro - da un importo equivalente a 9 dollari USA sino all'intero ammontare dell'account in essere presso il relativo operatore di telefonia mobile. Vi è inoltre il rischio di screditare irrimediabilmente il numero di telefono interessato dall’attacco, in quanto il suddetto Trojan è perfettamente in grado di raccogliere i numeri presenti all'interno della rubrica, per poi inviare a questi ultimi tutta una serie di messaggi, in maniera del tutto arbitraria. Il malware mobile qui descritto è principalmente destinato agli utenti di lingua russa e, in genere, agli utenti di telefonia ubicati all'interno della Comunità degli Stati Indipendenti (CSI), ovvero quei paesi che occupano attualmente lo spazio geografico post-sovietico.

3. AdWare.AndroidOS.Ganlet.a. Sul terzo gradino del "podio" virtuale si è insediato tale modulo pubblicitario, provvisto di specifiche funzionalità inerenti all'installazione di ulteriori applicazioni maligne sul dispositivo mobile sottoposto ad assalto informatico.

4. Trojan-SMS.AndroidOS.FakeInst.a. Si tratta di un programma Trojan che, al pari di OpFake, nel corso degli ultimi due anni ha indubbiamente compiuto una significativa evoluzione, passando dallo status di semplice "speditore" di messaggi SMS alla più sofisticata condizione di programma bot vero e proprio. Esso viene gestito dai cybercriminali mediante l'utilizzo di vari canali di comando (tra cui, ad esempio, Google Cloud Messaging, il noto servizio che aiuta gli sviluppatori a trasmettere dati dai server alle proprie applicazioni Android, installate su dispositivi provvisti dell'omonimo sistema operativo). Il malware denominato FakeInst.a è in grado di sottrarre denaro dall'account telefonico degli utenti presi di mira e, al tempo stesso, di inviare messaggi ai numeri presenti nell'elenco dei contatti precedentemente stilato dall'utente-vittima.

5. RiskTool.AndroidOS.SMSreg.cw. Il malware mobile in questione risulta estremamente diffuso in Cina; esso si presenta sotto forma di modulo di pagamento, inserito dagli sviluppatori nella composizione di numerosi giochi per dispositivi mobili; più specificamente, esso appare, agli occhi dell'utente, in veste di modulo preposto alla realizzazione di acquisti di vario genere nell'ambito dell'applicazione stessa, mediante l'invio di appositi messaggi SMS. In realtà, a totale insaputa dell'utente preso di mira, RiskTool.AndroidOS.SMSreg.cw provvede poi ad eliminare subdolamente tutti gli SMS di conferma provenienti dal sistema di addebito automatico, relativi agli "acquisti" effettuati mediante il suddetto modulo. Pertanto, la vittima del raggiro informatico qui descritto non potrà in alcun modo sospettare che sia stato sottratto del denaro dal proprio account telefonico, perlomeno finché non andrà a controllare l'ammontare del credito residuo effettivamente disponibile.

6. Trojan-SMS.AndroidOS.Agent.u. Al sesto posto della graduatoria qui analizzata troviamo un ulteriore temibile programma Trojan, il quale si caratterizza, in particolar modo, per il fatto di aver iniziato a sfruttare per primo una specifica vulnerabilità individuata nell'OS Android, allo scopo di ottenere privilegi avanzati di DEVICE ADMIN (Amministratore del Dispositivo) e, conseguentemente, rendere estremamente difficile, se non impossibile, la propria rimozione dal dispositivo contagiato. Oltre a ciò, il suddetto Trojan-SMS è in grado di far cadere le chiamate telefoniche in arrivo, nonché di effettuare chiamate per conto proprio. Per l'utente, il danno economico derivante dall'infezione prodotta dal Trojan in causa è quantificabile nell'invio di alcuni costosi messaggi SMS verso numeri a pagamento, per un importo minimo complessivo equivalente a 9 dollari.

7. Trojan.AndroidOS.Plangton.a. Si tratta, nella fattispecie, di un insidioso modulo AdWare, il quale, senza fornire previamente alcuna notifica all'utente mobile, trasmette i dati personali relativi a quest'ultimo al server allestito dagli "inserzionisti" pubblicitari, facendo apparire il tutto come una semplice operazione di advertising mirato. Danni arrecati: discredito del numero di telefono dello smartphone, dell'account Google e di alcuni altri dati. Oltre a ciò, il suddetto Trojan provvede a cambiare furtivamente la pagina web iniziale del programma di navigazione in uso presso l’utente, senza che quest’ultimo possa essere opportunamente avvisato e possa quindi esprimere o meno il proprio consenso. Plangton, infine, aggiunge vari bookmark pubblicitari al browser installato sul dispositivo mobile.

8. Trojan-SMS.AndroidOS.Opfake.a. E' un bot multifunzione; esso contribuisce in maniera considerevole alla diffusione del programma dannoso denominato Backdoor.AndroidOS.Obad.a, un software nocivo particolarmente complesso e sofisticato, appositamente sviluppato dai virus writer per colpire il sistema operativo mobile Android. I due malware in questione, utilizzati congiuntamente, formano un pacchetto di applicazioni estremamente pericoloso per gli utenti dei dispositivi mobili, per i motivi qui di seguito elencati:

 

  1. disponibilità di un'ampia gamma di potenzialità nocive: furto dei dati personali relativi al proprietario dello smartphone sottoposto ad attacco; invio di messaggi SMS verso qualsiasi numero telefonico, contenenti un determinato testo prestabilito. L'installazione di una simile applicazione dannosa su un dispositivo mobile può generare il completo "prosciugamento" dell'account di telefonia preso di mira. Sussiste inoltre l'evidente rischio che il numero telefonico di cui è titolare l'utente-vittima possa essere rapidamente screditato, visto che, a nome di quest'ultimo, verranno di sicuro inviati numerosi SMS a tutti i contatti presenti in rubrica ed illecitamente carpiti dal malware. Infine, l'intero elenco dei contatti verrà trasmesso al server dannoso appositamente allestito dai malintenzionati di turno.
  2. Presenza di meccanismi di autodifesa estremamente sofisticati, atti a contrastare in maniera piuttosto efficace la rimozione del malware qui esaminato. A causa dello sfruttamento di una determinata vulnerabilità individuata nell'OS Android, risulta in pratica impossibile eliminare dal sistema il Trojan in questione senza ricorrere all'utilizzo di speciali programmi anti-malware, quali, ad esempio, la soluzione di sicurezza "Kaspersky Internet Security for Android", preposta alla protezione dei dispositivi che si avvalgono della piattaforma mobile sviluppata da Google.

 

E' di particolare importanza porre in evidenza come il quadro geografico che fotografa la diffusione di Trojan-SMS.AndroidOS.OpFake.a risulti decisamente più esteso rispetto all'area in cui sono soliti operare i malware che attualmente detengono le posizioni di vertice nell'ambito della speciale classifica qui sopra riportata. In effetti, rileviamo di frequente tentativi di infezione di apparati mobili provvisti di sistema operativo Android - da parte del suddetto malware - non solo all'interno del vasto territorio occupato dalla Comunità degli Stati Indipendenti, ma anche in alcuni paesi europei.

9. Trojan.AndroidOS.MTK.a. La nona posizione della TOP-10 relativa alle minacce IT più diffuse nella sfera del malware mobile è andata ad appannaggio di questo Trojan particolarmente complesso, provvisto di estese funzionalità e di avanzati metodi di codifica. Il compito principale che si prefigge tale software nocivo, destinato alla piattaforma Android, consiste nell'avviare l'esecuzione, sul dispositivo-vittima, delle applicazioni dannose precedentemente scaricate.

10. AdWare.AndroidOS.Hamob.a. Con la specifica denominazione di <AdWare.AndroidOS.Hamob> vengono identificate certe applicazioni che si spacciano per software utili e del tutto legittimi, ma che, in realtà, altro non sono se non i classici moduli AdWare adibiti a mostrare messaggi pubblicitari di ogni genere agli utenti degli smartphone. In particolare, la suddetta variante di Hamob utilizza indebitamente, ad esempio, il nome e la relativa icona di WinRAR, il noto programma adibito alla compressione e all'archiviazione di dati.

La graduatoria del malware mobile maggiormente diffuso nel corso del 2013 evidenzia come siano entrati a far parte della TOP-10 da noi elaborata ben 4 Trojan-SMS; è di particolare interesse rilevare, tuttavia, come una considerevole parte di tali programmi Trojan sia dotata di specifici meccanismi di gestione e controllo, i quali, in sostanza, sono in grado di trasformare in veri e propri bot i dispositivi mobili da essi contagiati.

Geografia del malware mobile

 
Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti dai programmi malware destinati ai dispositivi mobili
(percentuali calcolate sul numero complessivo degli utenti unici sottoposti ad attacco)

La TOP-10 relativa ai paesi in cui, nel corso dell'anno analizzato nel presente report, si è registrato il maggior numero di attacchi informatici diretti nei confronti di utenti unici di apparati mobili si presenta nella maniera seguente:

 Paese% sul numero complessivo di utenti unici sottoposti ad attacco
1Russia40,34%
2India7,90%
3Vietnam3,96%
4Ukraina3,84%
5Gran Bretagna3,42%
6Germania3,20%
7Kazakhstan2,88%
8USA2,13%
9Malaysia2,12%
10Iran2,01%

Nell'ambito della ripartizione territoriale delle minacce IT per dispositivi mobili si manifestano, in tutta evidenza, peculiarità e specificità a carattere prettamente regionale; in altre parole, a seconda delle diverse aree geografiche e dei vari paesi in cui operano, i malintenzionati ricorrono all'utilizzo di categorie di malware mobile ben distinte e specifiche. Riportiamo, qui di seguito, alcuni esempi in merito, relativi a paesi ubicati in diverse regioni del globo:

Russia

La TOP-10 qui sopra inserita pone innanzitutto in risalto come i cybercriminali dediti alla distribuzione di programmi maligni destinati a colpire smartphone, tablet ed altri apparecchi portatili operino in maniera estremamente attiva proprio entro i confini della Federazione Russa; il 40,3% del numero complessivo di utenti attaccati dal malware mobile nel corso dell'anno 2013 è in effetti risultato essere ubicato sul territorio del più esteso paese del pianeta.

TOP-5 inerente alle famiglie di malware mobile maggiormente diffuse in Russia:

Famiglia di malware% di utenti unici sottoposti ad attacco
Trojan-SMS.AndroidOS.OpFake40,19%
Trojan-SMS.AndroidOS.FakeInst28,57%
Trojan-SMS.AndroidOS.Agent27,11%
DangerousObject.Multi.Generic25,30%
Trojan-SMS.AndroidOS.Stealer15,98%

Esattamente come un anno fa, la Russia detiene con largo margine la poco ambita leadership relativa al numero complessivo di tentativi di infezione riconducibili ai famigerati Trojan-SMS; sottolineiamo come, per il momento, non si intravedano, sul panorama mondiale del malware mobile, elementi che possano indurre a prevedere significativi cambiamenti riguardo a tale specifica situazione. Come abbiamo evidenziato in precedenza, agli utenti russi è rivolta ugualmente la maggior parte dei Trojan "bancari" appositamente creati dagli autori di malware per attaccare le piattaforme mobili.

E' davvero singolare osservare come la Russia ed i paesi facenti parte della Comunità degli Stati Indipendenti (composta da undici delle ex-repubbliche sovietiche) vengano spesso adibiti, da parte dei cybercriminali, ad una sorta di "poligono di tiro" sperimentale, in cui testare le nuove tecnologie dannose via via messe a punto: in sostanza, una volta sviluppata una determinata tecnologia nociva nell'ambito del segmento russo di Internet, i malintenzionati iniziano poi ad utilizzare la stessa nel quadro degli attacchi informatici orditi nei confronti degli utenti mobili situati in altri paesi.

Germania

La Germania è uno di quei paesi dell'Europa Occidentale in cui i Trojan-SMS risultano particolarmente attivi. Lungo tutto l'arco del 2013, i virus writer insediati entro i confini della Federazione Russa hanno ugualmente preso di mira gli utenti mobili ubicati sul continente europeo, visto che, anche all'interno di tale macro-area geografica, quel particolare schema di "monetizzazione" del malware che prevede l'invio di furtivi messaggi SMS verso costosi numeri a pagamento, sembra produrre i profitti illeciti sperati. In Germania, ad esempio, sono stati da noi individuati frequenti tentativi di infezione dei dispositivi mobili attraverso l'utilizzo di Trojan-SMS, ed in particolar modo mediante i software nocivi riconducibili alla famiglia di malware denominata Agent. 

In questo paese, inoltre, i malintenzionati ricorrono attivamente all'utilizzo dei Trojan-banker mobili: tra le nazioni dell'Europa Occidentale, la Germania occupa in assoluto il primo posto riguardo al numero complessivo di utenti unici sottoposti ad attacco da parte di tali malware mobili (sesta posizione nell'analogo rating su scala mondiale).

TOP-5 inerente alle famiglie di malware mobile maggiormente diffuse in Germania:

Famiglia di malware% di utenti unici sottoposti ad attacco
RiskTool.AndroidOS.SMSreg25,88%
DangerousObject.Multi.Generic20,83%
Trojan-SMS.AndroidOS.Agent9,25%
Trojan.AndroidOS.MTK8,58%
AdWare.AndroidOS.Ganlet5,92%

USA

Le peculiarità che contraddistinguono la diffusione delle varie categorie di malware mobile sul territorio degli Stati Uniti d'America risultano essere ben diverse rispetto alla situazione rilevata, nel 2013, per Russia e Germania. In primo luogo, nel paese nordamericano non viene applicato, da parte dei malintenzionati, nessuno schema di "monetizzazione" che preveda l'utilizzo degli abituali messaggi SMS nocivi; negli USA, non si registra quindi il consueto chiaro predominio - come ad esempio in Russia - dei malware mobili appartenenti alla categoria dei Trojan-SMS. Sul territorio statunitense la categoria di malware mobile che trova maggiore diffusione risulta essere quella dei bot, programmi maligni preposti a raccogliere i dati custoditi negli smartphone infettati dal malware.

TOP-5 inerente alle famiglie di malware mobile maggiormente diffuse negli Stati Uniti:

Famiglia di malware% di utenti unici sottoposti ad attacco
DangerousObject.Multi.Generic19,75%
RiskTool.AndroidOS.SMSreg19,24%
Monitor.AndroidOS.Walien11,24%
Backdoor.AndroidOS.GinMaster8,05%
AdWare.AndroidOS.Ganlet7,29%

Cina

In Cina, invece, sulla scena del malware mobile si riscontra una nutrita presenza di moduli AdWare, integrati sia in applicazioni del tutto "pulite" che in applicazioni nocive. Le funzionalità di cui sono provvisti i moduli "pubblicitari" in questione sono in genere molto ampie e si spingono, talvolta, fino a generare il download di software dannosi sul telefono dell'utente-vittima. Nella Repubblica Popolare Cinese abbondano, tuttavia, anche i Trojan-SMS e i programmi backdoor.

TOP-5 inerente alle famiglie di malware mobile maggiormente diffuse in Cina:

Famiglia di malware% di utenti unici sottoposti ad attacco
RiskTool.AndroidOS.SMSreg46,43%
AdWare.AndroidOS.Dowgin19,18%
DangerousObject.Multi.Generic13,89%
Trojan-SMS.AndroidOS.Agent10,55%
Trojan.AndroidOS.MTK10,13%

Conclusioni

Il malware appositamente progettato per attaccare gli account bancari degli utenti dei dispositivi mobili è in continua evoluzione, sia dal punto vista qualitativo che quantitativo; i software nocivi "dedicati" alle piattaforme mobili divengono sempre più complessi e sofisticati, mentre il loro numero risulta in costante, repentina crescita. Con ogni probabilità, tale specifica tendenza proseguirà anche nell'immediato futuro: la quantità di Trojan bancari mobili presenti sulla scena del malware si rivelerà sempre più consistente; nel frattempo, i programmi malware riconducibili a tale particolare categoria si avvarranno in misura sempre maggiore di nuove tecnologie create dai virus writer allo scopo di cercare di impedirne il rilevamento e la rimozione dal sistema informatico contagiato, da parte delle soluzioni anti-malware.

Abbiamo inoltre rilevato come tra i sample di malware mobile individuati lungo tutto l'arco del 2013 predominino nettamente i bot. Sembra proprio che, nel periodo oggetto del presente report, i malintenzionati  abbiano pienamente "apprezzato" gli indiscutibili vantaggi che, di fatto, possono presentare le botnet mobili in termini di ottenimento di significativi profitti illeciti. Nei mesi a venire emergeranno, probabilmente, anche nuovi meccanismi preposti alla gestione e al controllo delle reti-zombie mobili.

Oltre a ciò, è pienamente lecito attendersi che, nel corso del 2014, i cybercriminali possano sfruttare ampiamente vulnerabilità e falle di sicurezza di vario genere, le quali potrebbero consentire al malware di insediarsi in maniera particolarmente radicata ed insistente all'interno del dispositivo mobile, e quindi complicare considerevolmente la rimozione del software nocivo da parte dei prodotti antivirus.

Nel 2013 è stato da noi individuato il primo caso di attacco nei confronti dei personal computer mediante l'utilizzo di dispositivi mobili. Non escludiamo, in futuro, l'eventualità che vengano condotti attacchi IT attraverso l'uso del Wi-Fi, tramite apparati mobili, nei confronti di workstation situate in prossimità di questi ultimi, così come a danno di infrastrutture informatiche in senso lato.

Concludiamo le nostre considerazioni e previsioni riguardo agli scenari che si prospettano nella sfera del malware mobile sottolineando il fatto che, con ogni probabilità, i Trojan-SMS continueranno a figurare, anche nel 2014, nelle posizioni di vertice delle speciali graduatorie da noi stilate relativamente al grado di diffusione delle varie tipologie di programmi malware mobili esistenti (sulla base del comportamento degli stessi), conquistando ulteriori territori ed aree geografiche mondiali.

 

 

 CONDIVIDI