I ransomware, malware che limitano l’uso del dispositivo infettato e richiedono un riscatto all’utente finale per poterne riprendere il controllo, sono diventanti una minaccia mobile. A lanciare l’allarme è Fortinet che negli ultimi mesi ha evidenziato una crescita di queste minacce su smartphone e tablet.
“Visto che i dispositivi mobili sono sempre più diffusi, gli hacker hanno trovato nei device mobili un nuovo vettore per guadagnare denaro, oltre ai tradizionali PC”, ha affermato Ruchna Nigam, Security Researcher dei FortiGuard Labs di Fortinet.
Ma quali sono i ransomware più pericolosi?
Simplocker, scoperto a giugno 2014, si presenta come applicazione Trojan, ad esempio come un Flash Player. Si tratta del primo “vero” ransomware per Android, nel senso che crittografa realmente i file (con estensione “jpeg”, “jpg”, “png”, “bmp”, “gif”, “pdf”, “doc”, “docx”, “txt”, “avi”, “mkv”, “3gp” e “mp4”) sul telefono. I dispositivi infetti vengono bloccati, con un avviso sullo schermo che indica che il telefono è bloccato e che per sbloccarlo è necessario effettuare un pagamento. Anche dopo la disinstallazione dell’applicazione in modalità provvisoria, i file devono essere decrittografati.
Cryptolocker viene contraffatto come un’applicazione BaDoink per scaricare video. Anche se il malware non causa danni ai dati del telefono, visualizza una schermata di blocco ad opera della polizia locale, personalizzato in base alla geolocalizzazione dell’utente finale. Il blocco dello schermo viene lanciato ogni 5 secondi rendendo difficoltoso il funzionamento del dispositivo senza la disinstallazione del malware.
iCloud “Oleg Pliss”, scoperto a maggio 2014, è stato il primo caso segnalato di ransomware per dispositivi Apple. Questi attacchi non possono essere attribuiti a un malware particolare, ma ad account iCloud compromessi in combinazione con alcune tecniche di social engineering. Si pensa che gli autori degli attacchi sfruttino la funzionalità Trova il mio iPhone, iPad e Mac di Apple unitamente a password riciclate ottenute tramite violazioni delle password. L’attacco, tuttavia, non funziona se il dispositivo ha già un codice di accesso impostato (blocco del telefono). Il malware potenzialmente può violare informazioni relative a calendario e contatti e consentire all’autore dell’attacco di eliminare informazioni dal telefono.
FakeDefend, scoperto a luglio 2013, prende di mira i dispositivi Android. Si presenta come un’applicazione antivirus contraffatta che invita l’utente finale a pagare una sottoscrizione completa dopo avere eseguito una falsa scansione e avere mostrato un elenco di “infezioni” hard-coded individuate sul telefono. Se l’utente decide di pagare la somma, i dettagli della carta di credito forniti vengono trasmessi al server dell’autore dell’attacco in forma di testo normale. I dettagli rubati della carta di credito possono essere usati successivamente per transazioni illecite.
