Nel corso del 2017 sono calati i trojan pubblicitari mobile, individuati nel 2016 come la principale minaccia malware per dispositivi mobile. Con i privilegi di root, infatti, i trojan possono installare segretamente diverse applicazioni, così come tempestare il dispositivo infettato di pubblicità che impediscono l’utilizzo dello smartphone. Oltre ad offrire un numero quasi infinito di possibilità, questi trojan sono difficili da rilevare ed eliminare. Tuttavia, nel 2017 hanno incontrato diverse sfide.
Secondo una recente ricerca, il numero complessivo di trojan pubblicitari mobile che sfruttano i diritti di superutente è diminuito nel 2017 rispetto all’anno precedente. Questo calo è il risultato della diminuzione del numero complessivo di dispositivi mobile che operano con vecchie versioni di Android, che sono i principali obiettivi dei trojan, poiché le vulnerabilità più comuni che possono essere sfruttate vengono solitamente risolte nelle versioni più recenti del sistema. Secondo i dati, la percentuale di utenti con dispositivi su cui è installato Android 5.0 o versioni precedenti è diminuita dall’85% nel 2016 al 57% nel 2017, mentre la quota di utenti Android 6.0 o versioni più recenti è più che raddoppiata: dal 21% nel 2016 al 50% nel 2017 (il 6% degli utenti ha aggiornato i propri dispositivi nel 2016, il 7% nel 2017). Tuttavia, questo tipo di trojan è rimasto il più celebre tra le 20 principali minacce del 2017.
Lo scorso anno sono state scoperte nuove varianti dei trojan pubblicitari, che non sfruttavano le vulnerabilità che consentono l’accesso di root per mostrare le pubblicità, ma cercavano altri metodi, come i servizi SMS premium. Due trojan legati alla famiglia malware Ztorg con queste funzionalità sono stati scaricati decine di migliaia di volte dal Play Store.
Al contempo, i ricercatori hanno registrato un ritorno sulla scena dei trojan-clicker mobile, che rubano denaro agli utenti Android attraverso il WAP-billing, un tipo di pagamento diretto mobile che non richiede registrazioni aggiuntive. Questi trojan cliccano su pagine con servizi a pagamento e, dopo aver attivato l’abbonamento, il denaro nell’account della vittima viene direttamente versato negli account degli hacker. Questo trend non era stato riscontrato per diverso tempo, ma nel 2017 questa minaccia mobile ha iniziato a diffondersi attivamente. Alcuni dei WAP-clicker scoperti contenevano inoltre moduli per il mining di crypto valuta.
Ransomware mobile
Le epidemie di ransomware che hanno colpito il mondo lo scorso anno hanno avuto ripercussioni anche nel panorama delle minacce mobile. I ricercatori ha scoperto 544.107 pacchetti d’installazione di trojan-ransomware mobile, il doppio rispetto al 2016 e 17 volte la cifra del 2015. La crescita del volume di questi attacchi è stata riscontrata nei primi mesi dell’anno, a causa dell’elevata attività della famiglia trojan Congur (che rappresenta l’83% di tutti i pacchetti d’installazione del 2017), un blocker che imposta o reimposta il PIN del dispositivo e richiede un riscatto per sbloccarlo.
Sebbene le caratteristiche e le tecniche dei ransomware mobile siano rimaste praticamente immutate nel corso dell’anno, alcune funzionalità ransomware sono state scoperte tra le famiglie di trojan bancari, come Svpeng e Faketoken, con varianti capaci di criptare i file degli utenti.
I principali risultati della rierca relativi al 2017 sono:
- 42,7 milioni di tentativi di attacco da parte di malware mobile (40m nel 2016);
- Oltre 4,9 milioni di utenti di dispositivi Android protetti (1,2 volte in più rispetto al 2016);
- Iran (57,25%), Bangladesh (42,76%) e Indonesia (41,14%) sono i tre Paesi più attaccati da malware mobile;
- 5.730.916 pacchetti d’installazione di trojan mobile (1,5 volte in meno rispetto al 2016);
- 110.184 utenti unici presi di mira dai ransomware mobile (1,4 volte in meno rispetto al 2016);
- 94.368 trojan bancari mobile (1,3 volte in meno rispetto al 2016). Maggiori informazioni possono essere trovate nel report Financial Cyberthreats in 2017.
“Il panorama delle minacce mobile sta chiaramente evolvendo insieme al settore mobile globale. I trojan pubblicitari mobile che sfruttano i diritti di root sono attualmente in declino ma se le nuove versioni del firmware Android si rivelassero vulnerabili, nuove opportunità si aprirebbero e vedremmo una nuova crescita di questa minaccia. Lo stesso vale per le crypto valute: con l’aumento dei miner in tutto il mondo, ci aspettiamo di vedere ulteriori varianti di malware mobile contenenti moduli di mining, nonostante le performance dei dispositivi mobile non siano elevate”, ha commentato Roman Unuchek, esperto di sicurezza di Kaspersky Lab.
Per ridurre il rischio di infezione e rimanere al sicuro, agli utenti si consiglia di:
- Prestare attenzione alle app installate sul proprio dispositivo ed evitare di effettuare il download da fonti sconosciute;
- Tenere aggiornato il device;
- Lanciare regolarmente una scansione del sistema per scoprire eventuali infezioni.
