Virologia della telefonia mobile, Parte 4
Denis Maslennikov
Introduzione
Dalla pubblicazione dell'articolo «Virologia della telefonia mobile, Parte 3» (avvenuta nel mese di settembre 2009) ad oggi, nello specifico settore del malware appositamente sviluppato dai virus writer per attaccare i dispositivi mobili si sono indubbiamente prodotti eventi di notevole rilievo.
Abbiamo in primo luogo assistito a significativi cambiamenti a livello dei «rapporti di forza» esistenti tra i vari sistemi operativi utilizzati nel campo della telefonia mobile. In questi ultimi tempi, Android OS ha acquisito un grado di popolarità sempre maggiore; al momento attuale, il sistema operativo realizzato da Google sta addirittura sopravanzando Windows Mobile nelle preferenze degli utenti. Da parte loro, i sistemi operativi iOS e Blackberry hanno ulteriormente intensificato la loro presenza sul mercato degli smartphone; continua invece a perdere terreno Symbian, il quale rimane tuttavia leader mondiale relativamente agli OS specificamente dedicati ai dispositivi mobili.
Si è poi nel frattempo esteso l'elenco delle piattaforme per le quali gli autori di malware hanno sviluppato programmi maligni. Alla lista si sono difatti recentemente aggiunti iOS (il sistema operativo per iPhone/iPod Touch/iPad) ed Android. Così come si presupponeva, i software nocivi appositamente elaborati per colpire iOS, sono per il momento in grado di infettare soltanto gli smartphone “sbloccati” (jailbroken) dagli utenti.
E' inoltre evidente come sia considerevolmente aumentato il grado di complessità dei programmi malware e degli attacchi portati nei confronti dei dispositivi mobili.
Sottolineiamo infine come la stragrande maggioranza dei cosiddetti malware “mobili“ da noi individuati da un anno a questa parte, sia in un modo o nell'altro specificamente mirata a perpetrare il furto del denaro degli utenti.
La nostra consueta rassegna relativa alla virologia che interessa il mondo della telefonia mobile inizia, come al solito, con una dettagliata analisi dei dati statistici da noi raccolti.
Famiglie e varianti. Statistiche e variazioni
La sempre crescente popolarità degli smartphone ed il conseguente considerevole aumento del numero di applicazioni e di nuovi servizi ad essi dedicati, hanno generato un sensibile incremento del numero di programmi dannosi mediante i quali i malintenzionati cercano in misura sempre maggiore di far soldi alle spalle degli utenti dei dispositivi mobili.
Alla metà di agosto 2009 risultavano da noi già classificate 106 famiglie di malware, per un totale complessivo di 514 varianti di codice nocivo per dispositivi mobili. Per la fine del 2010, tuttavia, i dati statistici da noi elaborati dipingevano un quadro ancor più allarmante, con ben 153 famiglie e più di 1.000 varianti di malware «mobile» identificate! Ciò significa in pratica che, rispetto al 2009, nel corso del 2010 è stato individuato il 65,12% in più di nuovi programmi malware appositamente sviluppati per i dispositivi mobili; nel breve volgere di 17 mesi è quindi in sostanza quasi raddoppiato il numero di software nocivi specificamente creati dai virus writer per colpire smartphone, cellulari ed altri apparati mobili.
Alla fine del 2010, la situazione si presentava pertanto nella maniera seguente:
| Plataforma |
Numero di famiglie |
Numero di varianti |
| J2ME |
45 |
613 |
| Symbian |
74 |
311 |
| Python |
5 |
60 |
| Windows Mobile |
16 |
54 |
| AndroidOS |
7 |
15 |
| Sgold |
3 |
4 |
| MSIL |
2 |
4 |
| IphoneOS |
1 |
2 |
Numero di famiglie e di varianti individuate in relazione alle varie piattaforme esistenti
La rappresentazione grafica dei dati sopra riportati è la seguente:
Distribuzione delle varianti individuate in relazione alle varie piattaforme
Desideriamo innanzitutto porre in evidenza l'imponente quantità di Trojan appositamente sviluppati dai virus writer per la piattaforma J2ME (Java 2 Micro Edition): nella speciale graduatoria da noi stilata il numero di varianti di codice nocivo specificamente creato per J2ME risulta quasi doppio rispetto alla quantità di programmi malware “dedicati” alla piattaforma Symbian. Ricordiamo come le applicazioni dannose per la piattaforma Java rappresentino una seria minaccia non solo per gli utenti degli smartphone, ma anche per i possessori di comuni telefoni cellulari. Si tratta, in sostanza, di programmi malware che cercano per lo più di generare l'invio di messaggi SMS verso costosi numeri a pagamento da parte del dispositivo mobile infettato.
Il progressivo aumento del numero di varianti note (2004-2010)
Evoluzione su scala mensile delle dinamiche inerenti alla comparsa di nuove varianti di malware - Periodo 2004-2010
La tabella qui sotto riportata è relativa alla suddivisione per famiglie dei programmi maligni per dispositivi mobili comparsi sulla scena del malware nel periodo agosto 2009 – dicembre 2010:
| Famiglia |
Data di individuazione " |
Piattaforma |
| Trojan-SMS.Kipla |
Ago.09 |
J2ME |
| Trojan-SMS.Jifake |
Ago.09 |
J2ME |
| Trojan-SMS.Vkofk |
Set.09 |
J2ME |
| Trojan-SMS.Cyppy |
Set.09 |
WinCE |
| Trojan-SMS.Lopsoy |
Ott.09 |
Symbian |
| Trojan-SMS.BadAssist |
Nov.09 |
Symbian |
| Net-Worm.Ike |
Nov.09 |
IphoneOS |
| Trojan-SMS.VScreener |
Nov.09 |
J2ME |
| Trojan-SMS.Levar |
Nov.09 |
WinCE |
| Trojan-SMS.Druleg |
Dic.09 |
J2ME |
| not-a-virus:Monitor.Flesp |
Dic.09 |
Symbian |
| not-a-virus:Monitor.Dadsey |
Dic.09 |
Symbian |
| Trojan-SMS.Sejweek |
WinCE |
| Trojan-SMS.Luanch |
Feb.10 |
WinCE |
| Trojan-Spy.Cripper |
Feb.10 |
WinCE |
| Trojan-SMS.Picong |
Mar.10 |
J2ME |
| Worm.Megoro |
Mar.10 |
Symbian |
| Trojan.Terdial |
Apr.10 |
WinCE |
| not-a-virus:Montior.Mobspy |
Apr.10 |
WinCE |
| Trojan-SMS.Smmer |
Apr.10 |
J2ME |
| Trojan-Spy.Mijispy |
Apr.10 |
J2ME |
| Trojan-PSW.Vkonpass |
Mag.10 |
J2ME |
| Trojan-SMS.Slishow |
Mag.10 |
J2ME |
| not-a-virus:Monitor.Bond006 |
Giu.10 |
WinCE |
| not-a-virus:Monitor.Bond006 |
Giu.10 |
Symbian |
| Trojan-PSW.Facekob |
Giu.10 |
Python |
| not-a-virus:Monitor.RedGoldEye |
Giu.10 |
WinCE |
| SMS-Flooder.Spammo |
Giu.10 |
J2ME |
| Trojan-SMS.Zonagal |
Giu.10 |
J2ME |
| Trojan-PSW.Liamgpass |
Giu.10 |
Python |
| Worm.Sagasi |
Giu.10 |
Symbian |
| Trojan-Spy.Reples |
Lug.10 |
Symbian |
| Trojan-SMS.FakePlayer |
Ago.10 |
AndroidOS |
| not-a-virus:Monitor.Tapsnake |
Ago.10 |
AndroidOS |
| Trojan-SMS.Abcmag |
Ago.10 |
WinCE |
| Trojan-Spy.Zbot |
Set.10 |
Symbian |
| Worm.Nmplug |
Nov.10 |
Symbian |
| Trojan-Spy.GPSpy |
Nov.10 |
AndroidOS |
| Trojan-Spy.Fakeview |
Nov.10 |
AndroidOS |
| Trojan-SMS.Pocha |
Nov.10 |
WinCE |
| Trojan-PSW.FakeLogin |
Dic.10 |
J2ME |
| Trojan-Downloader.Minplay |
Dic.10 |
Symbian |
| not-a-virus:Monitor.Replicator |
Dic.10 |
AndroidOS |
In totale: 46 nuove famiglie di malware “mobile”
La tabella qui sotto inserita evidenzia il numero di nuove famiglie e nuove varianti – relative ai programmi malware elaborati per le varie piattaforme esistenti - individuate nel periodo intercorrente da agosto 2009 al mese di dicembre 2010 incluso:
| Piattaforma |
Numero di nuove famiglie |
Numero di nuove varianti |
| J2ME |
13 |
431 |
| Symbian |
12 |
58 |
| Python |
2 |
15 |
| Windows Mobile |
11 |
28 |
| AndroidOS |
7 |
15 |
| IphoneOS |
1 |
2 |
| In totale: |
46 |
549 |
Quali sono le novità?
I metodi per "monetizzare" il malware mobile
Il mondo del software nocivo per dispositivi mobili risulta tuttora dominato da quei programmi in grado di generare l'invio di messaggi SMS verso numeri brevi a pagamento. L'utilizzo dei Trojan-SMS continua difatti a rappresentare, per i malintenzionati, il metodo più semplice ed efficace per far soldi a spese dei malcapitati utenti. Il motivo di tutto ciò appare abbastanza scontato: qualsiasi dispositivo mobile, sia esso un sofisticato smartphone o un comune telefono cellulare, è direttamente collegato al denaro «reale» ed effettivo dell'utente, ovverosia al credito di telefonia mobile posseduto da quest'ultimo. I criminali informatici sfruttano dunque attivamente il più «diretto» degli accessi alle risorse finanziarie dell'utente.
Uno dei suddetti Trojan-SMS è stato impiegato come strumento di contagio di dispositivi mobili persino dai titolari di vari siti pornografici: in effetti, non appena viene eseguito sullo smartphone dell'utente, il programma malware denominato Trojan-SMS.AndroidOS.FakePlayer provvede subito ad inviare quattro messaggi SMS (dal costo di ben 6 dollari l'uno!) ad un numero utilizzato per il pagamento dell'accesso ai contenuti pornografici richiesti.
Tuttavia, dal 2010, l'invio di SMS a pagamento non rappresenta più, per gli scrittori di virus che elaborano programmi malware destinati alle varie piattaforme mobili attualmente esistenti, l'unico metodo per realizzare cospicui profitti illeciti.
Nell'anno 2010, difatti, per la prima volta in assoluto nel corso dei 6 anni della giovane storia del malware per dispositivi mobili, è stato identificato un Trojan (Trojan.WinCE.Terdial.a) in grado di effettuare chiamate verso numeri internazionali a pagamento, a tariffa maggiorata.
Un worm specificamente elaborato per l'iPhone (Net-Worm.IphoneOS.Ike.b) è stato poi utilizzato dai cybercriminali per condurre un attacco di phishing ben mirato nei confronti degli utenti di una nota banca olandese. Utilizzando lo smartphone infettato dal worm, nel tentativo di effettuare l'accesso al sito web del suddetto istituto bancario, l'utente veniva difatti rediretto verso un sito di phishing appositamente allestito dai malintenzionati.
Ha fatto inoltre la sua comparsa sulla scena del malware mobile un programma maligno denominato Trojan-Spy.SymbOS.Zbot.a, rivelatosi particolarmente insidioso, grazie al quale i criminali informatici si sono dimostrati in grado di eludere il consueto rigoroso processo di autenticazione tramite SMS utilizzato dagli utenti degli istituti bancari per poter svolgere operazioni di banking online. Il suddetto Trojan «mobile» è stato impiegato dai malintenzionati, assieme al famigerato programma malware Zbot (ZeuS), nel corso di un attacco informatico di particolare complessità.
Informazioni più dettagliate sia riguardo ai programmi maligni sopra menzionati che ad altri software nocivi appositamente sviluppati per le piattaforme mobili saranno fornite nei successivi capitoli del presente articolo.
Le tecnologie
Durante tutto il periodo di tempo intercorso sino ad oggi dalla pubblicazione del precedente report riguardante i software nocivi in grado di insidiare e colpire i dispositivi mobili, non abbiamo rilevato la comparsa di nuove specifiche tecnologie dannose in materia. Purtuttavia, i nuovi malware mobili messi a punto dai virus writer utilizzano sì tecniche già note, ma ricorrono a particolari combinazioni nocive che si rivelano di notevole pericolosità per gli utenti di smartphone, cellulari ed altri apparati mobili, e sono in grado di provocare conseguenze a volte davvero spiacevoli.
I programmi malware «dedicati» al mondo dei dispositivi mobili hanno ad esempio iniziato ad interagire sempre più frequentemente con i server remoti allestiti dai malintenzionati. Al momento attuale, i criminali informatici possono pertanto disporre delle seguenti opportunità operative:
- ricevere regolarmente i dati sensibili carpiti agli utenti;
- aggiornare costantemente i parametri di funzionamento dei software dannosi utilizzati;
- riunire i dispositivi mobili infettati in vere e proprie botnet.
Tutto ciò significa, in sostanza, che gli attacchi informatici portati oggigiorno dai malware mobili stanno raggiungendo livelli di complessità e pericolosità mai visti in precedenza.
Le minacce per dispositivi mobili individuate “in-the-wild”
Ci accingiamo adesso a passare in rassegna i programmi malware più significativi elaborati dai virus writer per le varie piattaforme mobili; tali software nocivi sono stati individuati nel corso del periodo agosto 2009 - dicembre 2010.
Symbian
Worm.SymbOS.Yxe
All'inizio della seconda metà del 2009 veniva identificata una nuova variante - la quarta della serie - del malware mobile Worm.SymbOS.Yxe.
Ricordiamo che il worm Yxe, comparso sulla scena del malware all'inizio del 2009, è risultato essere il primo software nocivo appositamente sviluppato per gli smartphone dotati di sistema operativo Symbian S60 3rd edition. Questo insidioso programma maligno, oltre ad auto-diffondersi attraverso i messaggi SMS ed effettuare la raccolta di varie informazioni relative all'apparecchio telefonico da esso infettato e al suo proprietario, si caratterizzava per un ulteriore singolare tratto distintivo: tutte le sue varianti erano provviste di firma digitale Symbian e potevano essere in pratica eseguite su qualsiasi smartphone con sistema operativo Symbian S60 3rd edition.
La quarta variante del worm, Yxe.d, provvedeva poi non solo ad inviare messaggi SMS, ma iniziava ugualmente ad effettuare l'aggiornamento dei modelli di SMS, collegandosi con un server remoto. La variante Yxe.d dimostrava pertanto, in tal modo, che i malware mobili erano perfettamente in grado di poter interagire con server remoti predisposti dai criminali informatici, ricevendo da essi tutti gli aggiornamenti ed i comandi necessari per dispiegare il proprio potenziale nocivo; e tra l'altro, purtroppo, sempre con quantomai elevate probabilità di successo. Ma in pratica, cosa significava tutto ciò? Semplicemente una cosa: la ghiotta opportunità, per i malintenzionati, di poter finalmente creare botnet composte da dispositivi mobili contagiati dal malware!
Il primo software nocivo per dispositivi mobili in grado di ricevere comandi trasmessi dai cybercriminali (Backdoor.WinCE.Brador), aveva tuttavia fatto la propria comparsa già nel mese di agosto 2004. All'epoca, però, esso non rappresentava ancora una seria minaccia, in quanto gli smartphone non potevano rimanere costantemente collegati ad Internet. Ai giorni nostri, con l'ampia diffusione delle tecnologie wireless, e la sensibile diminuzione dei costi relativi ad Internet mobile, la probabilità che compaiano programmi malware in grado di interagire, in un modo o nell'altro, con il server remoto predisposto dal malintenzionato di turno, è in ogni caso considerevolmente aumentata.
Dopo la comparsa sulla scena della versione .d del worm Yxe è intervenuto un periodo di relativa calma. All'inizio del 2010, i virus writer cinesi responsabili della creazione del malware Worm.SymbOS.Yxe, provvedevano tuttavia ad eseguire un ulteriore aggiornamento del programma nocivo in questione. Rispetto alle varianti rilasciate in precedenza, la nuova versione del suddetto malware mobile presentava le seguenti funzionalità:
- il worm effettuava regolari tentativi di connessione ad un sito di social networking cinese;
- Il worm era in grado di generare il download di file.
Il messaggio SMS che il worm sopra menzionato provvedeva ad inviare, al fine di auto-diffondersi, sui dispositivi mobili di altri utenti, conteneva una singolare proposta per il destinatario: la possibilità di venire a conoscenza di numerosi dettagli relativi alla vita privata della popolare attrice cinese Zhang Ziyi. Se l'utente-vittima, utilizzando Internet mobile, avesse seguito il link inserito all'interno del messaggio SMS, avrebbe ricevuto la proposta di eseguire il download e la successiva installazione sul proprio dispositivo mobile del file LanPackage.sisx. Utilizzando un normale browser installato su un computer ordinario, attraverso tale link si sarebbe invece aperta una pagina contenente il messaggio «Errore 404».
In altre parole, il server remoto provvedeva a verificare l'User-Agent (la stringa identificativa contenente le informazioni relative all'applicazione, al sistema operativo e alla lingua utilizzati) e, in caso di impiego di Internet “non-mobile” da parte dell'utente, restituiva un messaggio di errore.
Al momento dell'individuazione del suddetto worm, la funzione aggiuntiva preposta al download di file risultava regolarmente attiva, pur non essendo presente, nel server remoto allestito dai criminali informatici, alcun file da scaricare.
Trojan-SMS.SymbOS.Lopsoy
Fino all'autunno 2009, Worm.SymbOS.Yxe è rimasto l'unico malware del suo genere ad essere dotato di firma digitale; come abbiamo visto sopra, tale software nocivo era stato sviluppato per i dispositivi mobili operanti con OS Symbian S60 3rd edition. Nel mese di ottobre 2009, tuttavia, Kaspersky Lab ha individuato il programma maligno Trojan-SMS.SymbOS.Lopsoy, un nuovo Trojan-SMS per smartphone funzionante sotto il sistema operativo Symbian S60 3rd edition. Anche tale malware risultava provvisto di firma digitale Symbian.
Informazioni riguardo alla firma digitale del Trojan
Il suddetto Trojan era stato collocato dai malintenzionati all'interno di vari siti web di file-hosting, mascherato sotto forma di applicazioni per dispositivi mobili e giochi di varia natura, anche a sfondo erotico. Una volta penetrato nello smartphone dell'utente-vittima, tale programma maligno agiva secondo il seguente schema:
- utilizzo della funzione di auto-avvio;
- auto-occultamento nell'elenco dei processi;
- ricerca del punto di accesso ad Internet, al fine di connettersi al server remoto predisposto dal criminale informatico;
- dopo essersi collegato a tale server, il Trojan riceveva da quest'ultimo sia il numero a pagamento al quale avrebbe successivamente inviato un messaggio SMS, sia il testo stesso dell'SMS da trasmettere.
Nel corpo del Trojan è stato evidenziato l'URL del server remoto allestito dai cybercriminali
A differenza dei Trojan-SMS elaborati per la piattaforma Java 2 Micro Edition (J2ME), dotati di funzionalità piuttosto primitive, Lopsoy offre ai criminali informatici opportunità ben superiori. Il telefono, una volta infettato da tale programma maligno, si connette costantemente con il server remoto; i cybercriminali, da parte loro, hanno la possibilità di variare in continuazione il testo del messaggio SMS ed il numero al quale quest'ultimo verrà inviato.
Vi è poi un ulteriore malware mobile provvisto di firma digitale, appositamente sviluppato per il sistema operativo Symbian S60 3rd edition; anch'esso è in grado di connettersi con il server remoto ed ottenere in tal modo tutti i parametri necessari per il proprio funzionamento.
Trojan-Spy.SymbOS.Zbot
Alla fine di settembre 2010, gli esperti di sicurezza IT della società S21Sec hanno individuato un programma nocivo in grado di inoltrare i messaggi SMS in arrivo verso un determinato numero. Fin qui sembrerebbe che non vi sia nulla di particolarmente rilevante. Senonché, è stato in primo luogo appurato che tale malware mobile risulta direttamente collegato con il tristemente noto Zbot (ZeuS); è stato inoltre poi rilevato come i criminali informatici fossero interessati non a tutti i messaggi SMS, bensì solo a quelli che contenevano i codici di autenticazione utilizzati dagli utenti per lo svolgimento di operazioni di banking online. Tale programma malware è stato da noi classificato come Trojan-Spy.SymbOS.Zbot.a.
Lo schema di attacco utilizzato dal suddetto malware mobile risulta essere il seguente:
- Dal computer infetto, Zbot carpisce tutti i dati necessari per l'accesso al banking online.
- Una volta individuato il numero di telefono dell'utente-vittima, il malintenzionato invia a quest'ultimo un messaggio SMS contenente un link che conduce verso il programma dannoso per smartphone.
- Se l'utente segue il link maligno, gli verrà offerto di installare una determinata applicazione. L'utente potrà quindi procedere all'installazione (ovvero far eseguire il Trojan sul proprio dispositivo mobile), o potrà rifiutarsi dall'effettuarla.
- Il cybercriminale cerca poi di eseguire un'operazione di banking online, la quale richiede l'invio di un apposito SMS di conferma.
- La banca invia sul numero di telefono dell'utente-vittima un messaggio SMS contenente il codice di autenticazione.
- Il programma maligno provvede ad inoltrare tale messaggio in arrivo verso il numero di telefono del cybercriminale.
- Il cybercriminale riceve il suddetto codice di autenticazione e completa l'operazione di banking online precedentemente avviata.
Trojan-Spy.SymbOS.Zbot risulta anch'esso provvisto di regolare certificato digitale.
Un simile schema d'attacco, talmente complesso e sofisticato, testimonia in maniera inequivocabile come la sfera degli interessi dei criminali informatici sia in perenne espansione. Fino al rilevamento di tale insidioso malware mobile, la procedura di autenticazione dell'utente tramite SMS rappresentava ancora uno dei metodi di protezione più sicuri per l'effettuazione di transazioni bancarie in Internet. Possiamo a ragion veduta affermare che, al momento attuale, i criminali informatici sono purtroppo in grado di eludere facilmente anche un simile elevato livello di protezione.
Windows Mobile
Rileviamo innanzitutto come, al giorno d'oggi, il sistema operativo Windows Mobile stia progressivamente perdendo posizioni di mercato, per tutta una serie di motivi che andiamo qui di seguito ad elencare:
- Microsoft ha ormai lanciato Windows Phone, il nuovo sistema operativo per smartphone, ed ha al contempo arrestato lo sviluppo di Windows Mobile;
- si sta sempre di più riducendo il numero di nuovi modelli di smartphone dotati di Windows Mobile preinstallato;
- tale OS non viene ormai aggiornato da tempo.
La diminuzione del grado di popolarità di tale sistema operativo non sembra tuttavia aver avuto particolari ripercussioni sull'attività degli autori di virus.
Trojan-SMS.WinCE.Sejweek
Alla fine del 2009 è apparso un nuovo Trojan-SMS per Windows Mobile, denominato Trojan-SMS.WinCE.Sejweek. Sotto vari aspetti, tale malware si è rivelato molto simile a Lopsoy; occorre tuttavia rimarcare anche qualche sostanziale differenza rispetto al Trojan sviluppato dai virus writer per la piattaforma mobile Symbian ed analizzato nel precedente capitolo.
In primo luogo, al pari di Lopsoy, anche Sejweek effettua ripetuti tentativi di connessione con il server remoto. Quando il tentativo di collegamento va a buon fine, il suddetto Trojan-SMS per Windows Mobile provvede a scaricare dal server remoto un file XML con il seguente aspetto:
Il file XML scaricato da Sejweek
E' ben evidente come le informazioni racchiuse in alcuni tag del file risultino cifrate. Nel codice del Trojan è presente la seguente tabella, utilizzata da quest'ultimo per compiere il processo di decodifica.
La tabella utilizzata per il processo di decodifica
Se decifriamo le informazioni contenute nei tag e , esse assumono il seguente aspetto:
Il file XML decodificato
Come traspare dal contenuto dei tag e , il programma maligno in questione provvede ad inviare dal telefono infetto, ogni 11 minuti, SMS a pagamento verso il numero 1151. Considerando poi che il Trojan esegue regolari aggiornamenti del file XML – effettuando il download di nuovi dati per le operazioni di invio degli SMS - è facile comprendere come tale malware sia realmente in grado di “ripulire” con grande rapidità il credito presente nel dispositivo di telefonia mobile da esso infettato.
Tuttavia, per ciò che riguarda il sistema operativo mobile qui esaminato, il malware sopra descritto non costituisce l'unico esempio di software nocivo abilmente «monetizzato» dai cybercriminali.
Trojan.WinCE.Terdial
Nel 2010 è stato per la prima volta individuato un Trojan preposto ad effettuare chiamate verso numeri a pagamento. Alla fine di marzo dell'anno appena trascorso, su vari siti internazionali dedicati al software gratuito per smartphone con sistema operativo Windows Mobile - siti che permettevano agli utenti di effettuare il download di programmi freeware - è comparso il nuovo gioco "3D Antiterrorist". All'interno del file archivio da 1,5 megabyte, oltre al suddetto gioco, si trovava un file denominato reg.exe, il quale costituiva, in realtà, il vero e proprio programma malware - Trojan.WinCE.Terdial.a - preposto ad eseguire costose chiamate verso numeri internazionali a pagamento.
Una volta lanciato il file di installazione antiterrorist3d.cab, il suddetto gioco veniva installato nella directory Program Files; al contempo, il file nocivo reg.exe, di soli 5.632 byte, veniva copiato nella directory di sistema, sotto il nome smart32.exe.
Un'analisi più dettagliata del codice del programma malware in questione ha poi evidenziato che:
- tale software nocivo per dispositivi mobili era stato creato da virus writer di lingua russa;
- per avviarsi, il suddetto Trojan utilizzava la funzione CeRunAppAtTime;
- dopo la prima esecuzione di Trojan.WinCE.Terdial.a, venivano effettuate chiamate su 6 diversi numeri a pagamento, una volta al mese.
Elenco dei numeri verso i quali venivano effettuate le chiamate
+882******7 - International Networks
+1767******1 - Repubblica Dominicana
+882*******4 - International Networks
+252*******1 – Somalia
+239******1 - São Tomé e Príncipe
+881********3 - Global Mobile Satellite System
Il virus writer responsabile della creazione del suddetto Trojan, per diffondere la propria «creatura» sui dispositivi mobili, utilizzava quindi un software legale piuttosto popolare presso il pubblico degli utenti (il gioco Antiterrorist 3D, sviluppato dalla società cinese Huike). Non è certamente un segreto il fatto che molti utenti provvedano oggigiorno ad installare sui loro dispositivi dei software gratuiti o «craccati», dopo averli scaricati da vari siti web. Per l'appunto, su tali risorse Internet, i malintenzionati collocano anche programmi dannosi, abilmente mascherati sotto forma di software del tutto legittimi. E questo è, in pratica, ciò che è avvenuto nella circostanza sopra descritta. Temiamo proprio che, in futuro, continueranno a registrarsi numerosi casi analoghi.
iPhone
Nel capitolo finale dell'articolo «Virologia della telefonia mobile, Parte 3», avevamo ipotizzato che, riguardo all'iPhone, il rischio di infezione informatica sussisteva solo in quei casi in cui l'utente avesse provveduto a “sbloccare” (jailbreak) autonomamente il proprio dispositivo mobile, installando in esso applicazioni di provenienza non ufficiale. La nostra supposizione ha trovato ampia conferma nei fatti.
Net-Worm.IphoneOS.Ike
All'inizio del mese di novembre 2010 è stato individuato il primo worm per iPhone, denominato Net-Worm.IphoneOS.Ike.a. La minaccia di infezione riguardava solo quegli utenti che avevano provveduto a “sbloccare” il proprio iPhone od il proprio iPod Touch senza modificare la password definita di default da SSH. Il worm si propagava proprio utilizzando tale “peculiarità” dello smartphone. Ad ogni caso, il suddetto malware non arrecava affatto seri danni agli utenti dei dispositivi mobili contagiati: Ike provvedeva, in sostanza, solo a cambiare lo sfondo del display dello smartphone contagiato, inserendovi una foto di Rick Astley (celebre cantante inglese degli anni '80). Il worm non eseguiva altri tipi di attività nociva.
Tuttavia, già dopo solo un paio di settimane, faceva la sua apparizione un nuovo worm per iPhone (Net-Worm.IphoneOS.Ike.b), preposto al furto dei dati confidenziali degli utenti, il quale permetteva ai cybercriminali di impartire da remoto comandi allo smartphone infettato. Tale variante del worm Ike attaccava, allo stesso modo, gli utenti degli iPhone e degli iPod Touch “sbloccati” sui quali non era stata modificata la password definita di default da SSH.
La «vulnerabilità» sfruttata dal worm Ike.b
Nella fattispecie, si sono trovati sotto attacco i clienti della banca olandese ING Direct. Quando l'utente cercava di accedere al sito web del suddetto istituto bancario tramite uno smartphone contagiato dalla variante .b del worm Ike, il malware in questione provvedeva a reindirizzare il proprietario dell'iPhone verso un sito di phising. Qualora l'utente avesse poi inserito i propri dati sensibili all'interno della pagina web di phishing allestita dai malintenzionati, tali informazioni confidenziali sarebbero immediatamente andate a finire nelle mani dei cybercriminali.
In conclusione, possiamo quindi affermare che il worm Ike costituisce anch'esso un vero e proprio esempio lampante di malware “monetizzato” per iPhone ed iPod Touch precedentemente “sbloccati”.
Android
La piattaforma mobile Android, che ha ormai acquisito una considerevole quota di mercato, per un certo periodo di tempo non è stata fatta oggetto di attenzioni da parte degli scrittori di virus. Ma tutto è repentinamente cambiato nell'agosto del 2010, quando è stato individuato il primo programma malware appositamente sviluppato per tale sistema operativo. Da allora in poi, sono apparse non solo nuove varianti del primo malware per Android manifestatosi, ma anche ulteriori software nocivi preposti a colpire tale piattaforma, tanto è vero che al momento attuale si possono contare ben sette famiglie di programmi malware specificamente “dedicati” all'OS mobile di Google.
Trojan-SMS.AndroidOS.FakePlayer
Come già accennato sopra, Trojan-SMS.AndroidOS.FakePlayer - il primo programma malware «in-the-wild» per smartphone dotati di sistema operativo Android - è stato individuato agli inizi di agosto 2010.
Non esistono purtroppo, per il momento, elementi concreti in grado di illuminarci riguardo al metodo di diffusione adottato per la prima variante del suddetto Trojan-SMS. L'unica cosa che si può affermare con assoluta certezza è che il malware FakePlayer non si è in ogni caso propagato attraverso il negozio online ufficiale riservato alle applicazioni per Android.
In caso di infezione dello smartphone dell'utente Android da parte del suddetto programma maligno, subito dopo essere stato eseguito sul dispositivo mobile, il Trojan provvedeva all'invio di tre messaggi SMS verso due diversi numeri a pagamento russi.
La seconda variante di Trojan-SMS.AndroidOS.FakePlayer ha fatto la sua comparsa sulla scena del malware mobile all'inizio del mese di settembre 2010, ovvero all'incirca un mese dopo l'apparizione della prima versione del suddetto programma dannoso per la piattaforma Android. Le principali funzionalità presenti in tale software nocivo risultavano in sostanza invariate. L'identificazione della seconda versione di FakePlayer è oltretutto servita per chiarire alcuni importanti aspetti dei metodi di diffusione adottati dai cybercriminali riguardo a tale malware. Come è noto, l'interesse nutrito da una parte degli utenti nei confronti di contenuti pornografici può giocare molto spesso a favore dei virus writer, in special modo nel momento in cui questi ultimi decidono di procedere alla distribuzione di determinati programmi nocivi. Anche per ciò che riguarda FakePlayer la pornografia ha indubbiamente svolto un ruolo di primo piano nella vicenda.
Al giorno d'oggi, nell'Internet russa, i titolari di siti pornografici a pagamento offrono ai visitatori delle pagine web da essi allestite la possibilità di effettuare in tempi estremamente rapidi il pagamento necessario per accedere ai contenuti ospitati in tali siti: l'utente invia quindi ad un determinato numero a pagamento uno o più messaggi SMS contenenti un particolare testo, ricevendo, poco dopo, l'agognato codice di accesso, da inserire nella home page del sito “per adulti”.
Un messaggio SMS del genere, tramite il quale l'utente provvede al pagamento del diritto di accesso a contenuti di natura pornografica, viene inviato anche dal malware Trojan-SMS.AndroidOS.FakePlayer. Per la verità, non si tratta di un unico messaggio, bensì di quattro SMS ben distinti, i quali vengono trasmessi uno dopo l'altro. Ma in quale modo il suddetto Trojan penetra all'interno dei dispositivi di telefonia mobile appartenenti agli utenti della piattaforma Android?
E' evidente che numerosi utenti Internet giungono sui siti pornografici della Rete proprio attraverso i motori di ricerca. I titolari di risorse web porno che si avvalgono di Trojan-SMS.AndroidOS.FakePlayer, ricorrendo a specifici metodi di ottimizzazione dei risultati restituiti dai vari search engine (SEO), cercano di innalzare il più possibile il ranking attribuito dai motori di ricerca ai link che conducono verso i loro siti, e tutto ciò sulla base delle più comuni query “pornografiche” generalmente inserite dai navigatori web.
Analizziamo innanzitutto, a questo punto, ciò che generalmente avviene agli utenti che navigano in Rete tramite Personal Computer; lo scenario che si prospetta loro sarà il seguente:
utente -> motore di ricerca -> query «pornografica» -> sito web porno -> invio del messaggio SMS -> ricezione del codice di accesso -> visualizzazione dei contenuti del sito.
Ma cosa succede invece quando l'utente utilizza per la navigazione in Rete un dispositivo mobile, ad esempio uno smartphone provvisto di sistema operativo Android?
I primi tre «anelli della catena» sopra descritta rimangono sostanzialmente invariati. Ma gli elementi di maggior interesse si manifestano successivamente. Difatti, cliccando su uno dei link restituiti quale migliore risultato per la ricerca effettuata dall'utente nell'ambito del search engine consultato – link debitamente “spinto in alto” nel ranking dal titolare stesso del sito porno in questione – viene inviata una richiesta HTTP al server remoto predisposto dal malintenzionato di turno, richiesta contenente altresì la stringa riguardante l'User-Agent (si tratta, come abbiamo visto in un precedente capitolo del presente articolo, della stringa identificativa contenente tutte le informazioni relative all'applicazione, al sistema operativo e alla lingua utilizzati dall'utente).
Da parte sua, il server remoto provvede poi ad effettuare una debita verifica della stringa User-Agent inoltrata. Nel caso in cui l'utente risulti giunto sul sito web tramite un normale desktop browser, sarà da egli visualizzato, a questo punto, il solito sito pornografico. Se invece tale sito risulta essere stato raggiunto attraverso un browser mobile in esecuzione su sistema operativo Android, l'utente del dispositivo mobile riceverà immediatamente la proposta di effettuare il download del file pornoplayer.apk. Si tratta, in altre parole, di un'applicazione che cela il famigerato malware Trojan-SMS.AndroidOS.FakePlayer.
In tal caso, la sequenza degli eventi sarà la seguente:
utente -> motore di ricerca -> query «pornografica» -> sito web porno -> proposta di download del file pornoplayer.apk -> installazione dell'applicazione dannosa -> esecuzione del Trojan -> invio da parte del Trojan di quattro messaggi SMS verso numeri brevi a pagamento -> una parte del denaro speso per l'invio degli SMS va direttamente al proprietario del sito web pornografico.
In tal modo, il titolare del sito web porno si garantisce “preziosi” introiti supplementari. A tal riguardo, però, è doveroso fare una precisazione: si tratta, naturalmente, di profitti del tutto illegali.
Analizzando i siti web preposti alla distribuzione di FakePlayer, è stato individuato un elemento particolarmente curioso: i cybercriminali utilizzano il geotargetting, sistema che permette di filtrare i visitatori delle pagine web; nella fattispecie, il geotargetting consente ai malintenzionati di “concedere” il download del file pornoplayer.apk solo a quegli utenti che provengono da indirizzi IP russi.
J2ME
Durante il periodo intercorso dalla redazione dell'articolo “Virologia della telefonia mobile, Parte 3” ad oggi, la piattaforma Java 2 Micro Edition ha via via acquisito sempre maggiore popolarità presso i virus writer, i quali ne hanno effettivamente fatto largo uso. La stragrande maggioranza dei malware mobili elaborati per la piattaforma J2ME è costituita da Trojan-SMS; occorre tuttavia sottolineare come, con il trascorrere del tempo, non siano state rilevate sostanziali variazioni riguardo alle funzionalità presenti in tali software nocivi; allo stesso modo, sono rimasti del tutto identici i metodi utilizzati dai cybercriminali per la diffusione dei suddetti programmi malevoli. E' per tale motivo che, nel quadro del presente capitolo del report, non ci soffermeremo ad analizzare i Trojan-SMS destinati alla piattaforma sopra menzionata, ma esamineremo piuttosto un esempio di programma maligno per J2ME appositamente sviluppato dai virus writer al fine di eseguire il furto di login e password degli utenti di un popolare social network russo.
Trojan-PSW.J2ME.Vkonpass.a
Nel mese di maggio 2010 è apparso sulla scena del malware un programma nocivo preposto al furto di login e password utilizzati dagli utenti per accedere a «VKontakte», un social network particolarmente popolare in Russia. Tale software dannoso è stato appositamente creato per Java 2 Micro Edition. Per ciò che riguarda la piattaforma J2ME, fino all'apparizione del suddetto Trojan ci eravamo soprattutto trovati di fronte ad un cospicuo numero di Trojan-SMS, ma non si erano tuttavia mai manifestati programmi specificamente sviluppati dai virus writer per realizzare il furto di login e password utilizzati per accedere ad una rete sociale.
Il malware in questione, da noi identificato come Trojan-PSW.J2ME.Vkonpass.a, si mascherava sotto forma di programma per ottenere l'accesso al social network russo Vkontakte. Una volta eseguito il Trojan, sul display del dispositivo mobile compariva una finestra, all'interno della quale l'utente avrebbe dovuto inserire il login e la password necessari per accedere alla propria pagina personale.
Elenco dei numeri verso i quali venivano effettuate le chiamate
Non appena l'utente avesse provveduto ad introdurre il proprio login e la propria password, il suddetto programma maligno avrebbe immediatamente effettuato, tramite il protocollo SMTP, il tentativo di invio alla e-mail box del cybercriminale dei dati digitati dall'utente. Nel caso in cui il tentativo di trasmissione di tali dati fosse fallito, sul display sarebbe comparso il messaggio «Errore di connessione», mentre in caso di invio riuscito, il messaggio visualizzato dall'utente del dispositivo mobile sarebbe invece stato «Errore 401».
Cosa si prospetta nell'immediato futuro?
Durante l'anno in corso, l'evoluzione delle minacce informatiche per dispositivi mobili sarà caratterizzata dai seguenti elementi:
- Trojan-SMS. Non vi sono purtroppo, per il momento, presupposti che ci inducano a prevedere una diminuzione del numero di Trojan-SMS esistenti. Tra l'altro, visto che le leggi adottate in vari paesi risultano sostanzialmente insufficienti o inefficaci, i cybercriminali conservano inalterata la possibilità di avvalersi di numeri brevi a pagamento celandosi dietro il più completo anonimato.
- Aumento del numero di minacce informatiche rivolte alla piattaforma Android. Il sistema operativo mobile sviluppato da Google sta acquisendo un grado di popolarità sempre maggiore; ciò andrà ovviamente a riflettersi sulle attività condotte dai criminali informatici.
- Aumento del numero delle vulnerabilità rilevate nelle varie piattaforme mobili e presumibile conduzione di attacchi informatici tramite lo sfruttamento di tali falle di sicurezza. Fino ad oggi non è stato registrato alcun attacco di particolare rilievo che si avvalesse di una qualche vulnerabilità critica. Una di queste vulnerabilità – una falla di sicurezza individuata in iOS il 4 agosto scorso (il relativo aggiornamento è stato poi rilasciato il successivo 11 agosto) – poteva condurre all'esecuzione di codice arbitrario all'interno del sistema operativo. Nel caso in cui l'utente avesse cercato di aprire un file PDF appositamente predisposto, ciò avrebbe potuto provocare uno stack overflow e permettere quindi l'esecuzione nel sistema di codice arbitrario con i privilegi più elevati. E' stata tuttavia effettivamente utilizzata tale vulnerabilità per la conduzione di attacchi informatici nei confronti degli smartphone? Ciò che possiamo dire di sicuro è che, per il momento, non sono stati registrati incidenti di tal genere. Si sa tuttavia, per certo, che la vulnerabilità sopra descritta è stata invece utilizzata per semplificare considerevolmente le procedure di jailbreak degli smartphone.
- Aumento del numero degli spyware commerciali. Tale genere di software può essere impiegato per monitorare l'attività di terzi - ad esempio a fini di spionaggio industriale o per ottenere informazioni segrete (relative, per esempio, alle corrispondenze intrattenute).
Non dimentichiamoci, per concludere, dei tablet. Nel 2011 saranno proprio questi innovativi dispositivi mobili a condurre le danze. Lo scorso anno Apple ha lanciato l'iPad, nel quale si utilizza lo stesso sistema operativo installato nell'iPhone. Si prevede inoltre la produzione di tablet con supporto Android (alcuni costruttori hanno già rilasciato eloquenti dichiarazioni in merito). La società RIM, da parte sua, inizierà entro breve la vendita del proprio dispositivo tablet dotato di supporto Blackberry.
Rispetto agli smartphone, i suddetti dispositivi mobili sono indubbiamente in grado di offrire opportunità ben maggiori agli utenti: la possibilità di redigere dei documenti, una comoda navigazione sul web, la visione di film, giochi, etc. E' quindi inevitabile che i tablet siano destinati a godere di livelli di popolarità sempre crescenti.
Dal punto di vista dei sistemi operativi utilizzati dai loro produttori, ad ogni caso, tutto rimarrà come prima. Avremo pertanto sempre a che fare con i vari iOS, Android OS, Blackberry OS, etc., solo che tali sistemi operativi mobili risulteranno semplicemente ottimizzati per schermi di dimensioni superiori. Ne consegue che, per il software nocivo, non farà alcuna differenza su quale dispositivo mobile espletare le proprie funzionalità dannose, sia esso un tablet o uno smartphone.
Ma... c'è ancora un «ma» importante da sottolineare: come sappiamo, smartphone e tablet non sono intercambiabili, e questo per un motivo molto semplice: il tablet non è difatti provvisto della funzione di telefono. E' pertanto altamente probabile che l'utente possessore di un tablet risulti allo stesso tempo proprietario di uno smartphone. Il numero dei potenziali bersagli delle azioni illecite condotte dei cybercriminali è quindi inevitabilmente destinato a crescere; tutto questo comporterà, a sua volta, un sensibile aumento del numero di programmi malware appositamente sviluppati dai virus writer per colpire i dispositivi mobili.
(China)
(Japan)
(Korea)
