Sono Faketoken e Marcher, le due famiglie di Trojan progettate per rubare denaro. Un altro dato allarmante dell’anno è la rapida diffusione del ransomware.

Quest’anno i cybercriminali hanno investito tempo e risorse nello sviluppo di programmi finanziari nocivi, dato non sorprendente poiché sempre più persone in tutto il mondo usano i propri smartphone per pagare beni e servizi.

Nel 2015 due famiglie di Trojan bancari per dispositivi mobile (Faketoken e Marcher) sono apparsi nella classifica delle dieci principali famiglie di malware finanziari.

I programmi dannosi appartenenti alla famiglia Marcher rubano i dettagli di pagamento dai dispositivi Android mentre i rappresentanti della famiglia Faketoken operano insieme ai Trojan per computer. L’utente viene spinto a installare un’applicazione sul proprio smartphone, che in realtà è un Trojan per intercettare il codice di autorizzazione one-time (mTAN). La famiglia di Trojan bancari mobile Marcher, dopo aver infettato il dispositivo, traccia invece l’attività di due sole applicazioni: l’app per il mobile banking di una banca europea e Google Play. Se l’utente avvia Google Play, Marcher mostra una falsa finestra che richiede i dettagli della carta di credito, che vanno direttamente nelle mani dei truffatori. Lo stesso metodo viene utilizzato dal Trojan se l’utente avvia l’app della banca.

Il cybercrime finanziario “tradizionale” non è tuttavia diminuito: nel 2015, le soluzioni di Kaspersky Lab hanno bloccato, in totale, quasi due milioni (1,966,324) di tentativi di installazione di malware in grado di rubare denaro dai computer tramite online banking, con una crescita del 2,8% rispetto al 2014 (1,910,520).

Altri principali trend dell’attività cybercriminale nel 2015:

•      Le numerose modifiche della più diffusa famiglia malware, ZeuS, sono state detronizzate da Dyre/Dyzap/Dyreza. Più del 40% degli utenti attaccati da Trojan bancari nel 2015 sono stati infatti colpiti da Dyreza usando un efficace metodo di infezione via web che aveva lo scopo di rubare informazioni e accedere ai sistemi di online banking.

•      I criminali informatici nell’ottica di ridurre il rischio di condanna sono passati dagli attacchi malware alla diffusione aggressiva di adware. Nel 2015, 12 delle 20 minacce basate sul web sono state infatti adware. I programmi pubblicitari sono stati registrati nel 26,1% dei computer degli utenti.

•      Kaspersky Lab ha anche osservato nuove tecniche per mascherare exploit, shellcodes e payloads per rendere più difficile il rilevamento dell’infezione e l’analisi del codice dannoso. Nella fattispecie, i cybercriminali hanno usato il protocollo di criptaggio Diffie-Hellman e hanno celato pacchetti exploit in oggetti Flash.

•      I cybercriminali hanno fatto uso attivo della tecnologia di anonimizzazione Tor per nascondere i server di comando e hanno usato i Bitcoin per le transazioni.

Altra minaccia finanziaria del 2015 è il ransomware che ha rapidamente espanso la propria presenza su nuove piattaforme. Un attacco ransomware su 6 (17%) ora coinvolge un dispositivo Android, a solo un anno dalla prima volta che la piattaforma è stata presa di mira. Nel 2015, gli esperti di Kaspersky Lab hanno identificato due principali trend dei ransomware. Il primo è l’aumento del numero totale degli utenti attaccati da ransomware criptatori: fino a 180mila, il 48,3% in più rispetto al 2014. Il secondo è il fatto che in molti casi i criptatori stanno diventando a modulo multiplo e, oltre alla criptazione, comprendono una funzionalità progettata per rubare i dati dai computer delle vittime.

Gli studi effettuati hanno rilevato che l’80% degli attacchi bloccati dalle componenti antivirus provenivano da risorse online situate in 10 Paesi. I tre Paesi principali in cui si trovavano le risorse online infette sono rimasti invariati rispetto all’anno precedente: Stati Uniti (24,2%), Germania (13%) e Paesi Bassi (10,7%). Questa graduatoria dimostra che i cybercriminali preferiscono operare e usare servizi di hosting in quei Paesi dove il mercato dell’hosting è ben sviluppato.