I più diffusi sono i trojan pubblicitari mobile che sfruttano i diritti di super utente
Il 2016 ha visto i rilevamenti di malware mobile quasi triplicati rispetto al 2015, per un totale di 8,5 milioni di installazioni nocive identificate. Questo significa che, in un solo anno, è stata rilasciata una quantità di malware pari al 50% di tutti quelli rilevati negli 11 anni precedenti (15,77 milioni dal 2004 al 2015). I più diffusi sono stati i trojan pubblicitari mobile che rappresentano 16 programmi nocivi su 20, mentre nel 2015 erano 12.
Queste sono state le scoperte del report annuale Mobile Virusology di Kaspersky Lab, che evidenzia, inoltre, l’evoluzione dei trojan bancari mobile. Gli agenti specializzati del Global Complex for Innovation di INTERPOL hanno contribuito al report con un’analisi dei malware mobile nel Dark Web.
Nel 2016, le soluzioni per la sicurezza mobile di Kaspersky Lab hanno rilevato:
· Quasi 40 milioni di tentativi di attacco da parte di malware mobile, con oltre 4 milioni di utenti di dispositivi Android protetti (contro i 2,6 milioni del 2015)
· Oltre 260.000 rilevamenti di pacchetti d’installazione per ransomware mobile (un aumento di quasi 8,5 volte rispetto all’anno precedente)
· Più di 153.000 utenti unici presi di mira dai ransomware mobile (1,6 volte in più rispetto al 2015)
· Oltre 128.000 trojan bancari mobile rilevati (quasi 1,6 volte superiore al 2015)
Trojan pubblicitari: è già stato effettuato il root del vostro dispositivo?
· Il tipo più diffuso di Trojan nel 2016 è di tipo pubblicitario, rappresentando 16 programmi nocivi su 20
Questi trojan sono in grado di ottenere i diritti di super utente, consentendo al malware non solo di mostrare pubblicità in modo insistente sul dispositivo infetto, rendendolo spesso inutilizzabile, ma anche di installare altre applicazione a insaputa dell’utente. Questi trojan possono anche comprare app da Google Play.
In molti casi, i trojan sono stati in grado di sfruttare anche vulnerabilità già risolte dal momento che l’utente non aveva installato gli ultimi aggiornamenti.
Inoltre, questo malware installa contemporaneamente i propri moduli nella cartella di sistema, rendendo molto complessa l’analisi del dispositivo infettato. Alcuni trojan pubblicitari sono persino capaci di infettare l’immagine di ripristino, impedendo di risolvere il problema ripristinando il dispositivo alle impostazioni di fabbrica.
Software nocivi di questo tipo sono stati ripetutamente trovati nell’app store ufficiale Google Play, ad esempio, mascherati da guida per Pokémon GO. In questo caso, l’app è stata scaricata più di 500.000 volte e viene rilevato come Trojan.AndroidOS.Ztorg.ad.
Ransomware mobile: nuovi sviluppi
· Nel 2016, 153.258 utenti unici in 167 Paesi sono stati attaccati da programmi trojan-ransom, 1,6 volte in più rispetto al 2015.
I ransomware moderni sovrappongono i messaggi alle schermate, impedendo l’utilizzo del dispositivo. Questo principio è stato usato dal ransomware mobile più diffuso nel 2016: Trojan-Ransom.AndroidOS.Fusob.
Questo trojan colpisce prevalentemente utenti in Germania, Stati Uniti e Regno Unito, ma evita gli utenti della Comunità degli Stati Indipendenti e alcuni Paesi vicini. Una volta lanciato, controlla la lingua del dispositivo e, dopo aver ottenuto alcuni risultati, potrebbe fermarsi. I cyber criminali dietro al trojan solitamente chiedono tra 100 e 200 dollari per sbloccare il dispositivo. Il riscatto deve essere pagato usando codici di carte prepagate di iTunes.
Trojan bancario mobile: una minaccia in rapida crescita
· Nel 2016, oltre 305.000 utenti in 164 Paesi sono stati attaccati da trojan bancari mobile, rispetto ai più di 56.000 utenti in 137 Paesi dell’anno precedente.
· Russia, Australia e Ucraina sono i tre Paesi più colpiti in termini di percentuale di utenti attaccati da trojan bancari mobile rispetto al totale di utenti colpiti da malware mobile.
I trojan bancari mobile hanno continuato ad evolversi durante l’anno. Molti hanno ottenuto tool per superare i nuovi meccanismi di sicurezza Android e sono stati in grado di continuare a rubare informazioni sugli utenti dalle versioni più recenti del sistema operativo. Al contempo, gli sviluppatori di questi trojan hanno continuamente migliorato le loro creazioni con nuove funzionalità. Ad esempio, la famiglia Marcher, oltre a implementare le classiche sovrimpressioni per le applicazioni bancarie, reindirizzavano gli utenti dai siti di istituzioni finanziarie alle pagine di phishing.
L’illusione del Dark Web
Secondo gli agenti specializzati del Global Complex for Innovation di INTERPOL, che hanno contribuito al report, il Dark Web rimane un mezzo interessante per condurre attività e affari illeciti. Grazie all’elevato anonimato, ai prezzi bassi e alla strategia client-oriented, il Dark Web offre un mezzo ai cyber criminali per comunicare e dedicarsi a transazioni commerciali, comprando e vendendo diversi prodotti e servizi, tra cui kit di malware mobile. Vengono venduti malware mobile come pacchetti software (ad esempio RAT – Remote Access Trojan), soluzioni personalizzate e tool sofisticati, come quelli sviluppati da professionisti o, su scala ridotta, secondo un modello “Bot as a Service”. I malware mobile sono un “argomento interessante” anche sui siti dei vendor, nei forum e sui social.
“Nel 2016 è continuata la crescita di trojan pubblicitari capaci di sfruttare i diritti di super utente. Sono stati la principale minaccia dell’anno e non vediamo alcun segno di cambiamento di questo trend. I cyber criminali approfittano del fatto che la maggior parte dei dispositivi non ricevono gli aggiornamenti del sistema operativo (o li ricevono in ritardo) e sono quindi vulnerabili a exploit vecchi, conosciuti e facilmente reperibili. Inoltre, vediamo che il panorama mobile si sta rivelando abbastanza affollato per i cyber criminali, che stanno iniziando a interagire maggiormente con il mondo esterno allo smartphone. Forse nel 2017 vedremo importanti attacchi a componenti IoT lanciati dai dispositivi mobile”, ha commentato Roman Unuchek, Senior Malware Analyst di Kaspersky Lab.