Secondo il report annuale Mobile Virusology di Kaspersky Lab, che evidenzia, inoltre, l’evoluzione dei trojan bancari mobile, il 2016 ha visto i rilevamenti di malware mobile quasi triplicati rispetto al 2015, per un totale di 8,5 milioni di installazioni nocive identificate. Questo significa che, in un solo anno, è stata rilasciata una quantità di malware pari al 50% di tutti quelli rilevati negli 11 anni precedenti (15,77 milioni dal 2004 al 2015). I più diffusi sono stati i trojan pubblicitari mobile che rappresentano 16 programmi nocivi su 20, mentre nel 2015 erano 12. Gli agenti specializzati del Global Complex for Innovation di INTERPOL hanno contribuito al report con un’analisi dei malware mobile nel Dark Web.
Trojan pubblicitari: è già stato effettuato il root del vostro dispositivo?
Questi trojan sono in grado di ottenere i diritti di super utente, consentendo al malware non solo di mostrare pubblicità in modo insistente sul dispositivo infetto, rendendolo spesso inutilizzabile, ma anche di installare altre applicazione a insaputa dell’utente. Questi trojan possono anche comprare app da Google Play.
In molti casi, i trojan sono stati in grado di sfruttare anche vulnerabilità già risolte dal momento che l’utente non aveva installato gli ultimi aggiornamenti.
Inoltre, questo malware installa contemporaneamente i propri moduli nella cartella di sistema, rendendo molto complessa l’analisi del dispositivo infettato. Alcuni trojan pubblicitari sono persino capaci di infettare l’immagine di ripristino, impedendo di risolvere il problema ripristinando il dispositivo alle impostazioni di fabbrica.
Software nocivi di questo tipo sono stati ripetutamente trovati nell’app store ufficiale Google Play, ad esempio, mascherati da guida per Pokémon GO. In questo caso, l’app è stata scaricata più di 500.000 volte e viene rilevato come Trojan.AndroidOS.Ztorg.ad.
Ransomware mobile: nuovi sviluppi
I ransomware moderni sovrappongono i messaggi alle schermate, impedendo l’utilizzo del dispositivo. Questo principio è stato usato dal ransomware mobile più diffuso nel 2016: Trojan-Ransom.AndroidOS.Fusob.
Questo trojan colpisce prevalentemente utenti in Germania, Stati Uniti e Regno Unito, ma evita gli utenti della Comunità degli Stati Indipendenti e alcuni Paesi vicini. Una volta lanciato, controlla la lingua del dispositivo e, dopo aver ottenuto alcuni risultati, potrebbe fermarsi. I cyber criminali dietro al trojan solitamente chiedono tra 100 e 200 dollari per sbloccare il dispositivo. Il riscatto deve essere pagato usando codici di carte prepagate di iTunes.
Trojan bancario mobile: una minaccia in rapida crescita
I trojan bancari mobile hanno continuato ad evolversi durante l’anno. Molti hanno ottenuto tool per superare i nuovi meccanismi di sicurezza Android e sono stati in grado di continuare a rubare informazioni sugli utenti dalle versioni più recenti del sistema operativo. Al contempo, gli sviluppatori di questi trojan hanno continuamente migliorato le loro creazioni con nuove funzionalità. Ad esempio, la famiglia Marcher, oltre a implementare le classiche sovrimpressioni per le applicazioni bancarie, reindirizzavano gli utenti dai siti di istituzioni finanziarie alle pagine di phishing.
L’illusione del Dark Web
Secondo gli agenti specializzati del Global Complex for Innovation di INTERPOL, che hanno contribuito al report, il Dark Web rimane un mezzo interessante per condurre attività e affari illeciti. Grazie all’elevato anonimato, ai prezzi bassi e alla strategia client-oriented, il Dark Web offre un mezzo ai cyber criminali per comunicare e dedicarsi a transazioni commerciali, comprando e vendendo diversi prodotti e servizi, tra cui kit di malware mobile. Vengono venduti malware mobile come pacchetti software (ad esempio RAT – Remote Access Trojan), soluzioni personalizzate e tool sofisticati, come quelli sviluppati da professionisti o, su scala ridotta, secondo un modello “Bot as a Service”. I malware mobile sono un “argomento interessante” anche sui siti dei vendor, nei forum e sui social.
“Nel 2016 è continuata la crescita di trojan pubblicitari capaci di sfruttare i diritti di super utente. Sono stati la principale minaccia dell’anno e non vediamo alcun segno di cambiamento di questo trend. I cyber criminali approfittano del fatto che la maggior parte dei dispositivi non ricevono gli aggiornamenti del sistema operativo (o li ricevono in ritardo) e sono quindi vulnerabili a exploit vecchi, conosciuti e facilmente reperibili. Inoltre, vediamo che il panorama mobile si sta rivelando abbastanza affollato per i cyber criminali, che stanno iniziando a interagire maggiormente con il mondo esterno allo smartphone. Forse nel 2017 vedremo importanti attacchi a componenti IoT lanciati dai dispositivi mobile”, ha commentato Roman Unuchek, Senior Malware Analyst di Kaspersky Lab.
