Mobile Malware Evolution

Di
Redazione Data Manager Online
-

A cura di Alexander Gostev, Global Research and Analysis Team Director di Kaspersky Lab, e Denis Maslennikov, Mobile Research Group Manager.

Introduzione

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Sono passati quasi tre anni dalla redazione dei primi due articoli della serie "Virologia della telefonia mobile". Un simile intervallo di tempo è dovuto al fatto che l’evoluzione del mondo delle minacce per dispositivi mobili si è completamente arrestata in questo periodo.

Nei loro primi due anni di vita (dal 2004 al 2006) le minacce per dispositivi mobili sono state interessate da una crescita vertiginosa e incontrollabile, portando alla nascita di un’intera famiglia di programmi dannosi per telefoni cellulari, a sua volta diversificata proprio come quella dei malware per computer: virus, worm e trojan, tra cui spyware, backdoor e adware.

Questa espansione ha gettato le fondamenta per l’attacco in massa agli smartphone, che però, stranamente, non si è verificato. Tale inversione di tendenza si deve ai notevoli cambiamenti avvenuti nel mercato dei cellulari e altri dispositivi di telefonia mobile. Due anni fa la situazione era la seguente: c’era il leader assoluto, ovvero la piattaforma Symbian, e c’erano tutti gli altri.

Se la situazione fosse rimasta identica ad allora, oggi avremmo a che fare con una massa di malware per gli smartphone Symbian. Ma nel frattempo le cose sono cambiate: i produttori di telefoni e sistemi operativi sono riusciti di fatto a togliere a Symbian (e quindi a Nokia) la posizione di leader. In una determinata fase Nokia deteneva circa il 45% del mercato degli smartphone.

Il primo passo nella lotta al monopolio Nokia è stato mosso da Microsoft con la sua piattaforma mobile Windows Mobile. Windows Mobile 5, la prima versione offerta, era supportata da molti dei principali produttori di telefoni e ha avuto molto successo. A essa è seguita la versione 6, e la pubblicazione del codice sorgente del sistema operativo.

Risultato: oggi Windows Mobile è usato in circa il 15% degli smartphone in tutto il mondo e, in alcuni paesi è addirittura il sistema leader. Windows Mobile è stato concesso in licenza da Microsoft ai quattro maggiori produttori di telefoni cellulari (dopo Nokia), con un volume d’affari complessivo che raggiunge i 20 milioni di dispositivi l’anno.

Si è inoltre rafforzata e ha migliorato la sua posizione in modo significativo l’azienda RIM, il cui BlackBerry, dotato di sistema operativo proprietario, è molto diffuso negli USA. Va ricordato che per questa specifica piattaforma finora non è stato prodotto alcun malware, a esclusione del backdoor BBproxy, sviluppato per ricercare le vulnerabilità specifiche del dispositivo (http://www.praetoriang.net/presentations/blackjack.html).

Ma l’evento più importante e significativo degli ultimi anni è certamente rappresentato dall’uscita sul mercato dell’iPhone Apple. Basato su un sistema proprietario, la versione mobile di Mac OS X, questo telefono è rapidamente divenuto uno dei più venduti communicator al mondo. L’obiettivo dichiarato da Apple, ovvero vendere 10 milioni di dispositivi entro la fine del 2008, è stato raggiunto. A tutt’oggi sono stati venduti più di 21 milioni dei vari modelli di iPhone, e se a essi si aggiunge l’iPod Touch (l’iPhone senza telefono), la quantità complessiva di prodotti venduti raggiunge i 37 milioni di unità.

Se a ciò si aggiunge Android, il telefono su piattaforma Google in corso di lancio, che dispone di notevole potenzialità di utilizzo di applicazioni e servizi Google, si ottiene il quadro completo dell’indeterminatezza che affligge chiunque debba stabilire quale piattaforma vada usata come "base".

La situazione è radicalmente diversa da quella dei PC, dominata dall’onnipresente Windows, e la popolarità di un sistema operativo è effettivamente un fattore estremamente importante nella scelta dell’oggetto da attaccare per gli autori di virus.

Trovandosi di fronte al problema dell’assenza di un leader nei sistemi operativi per cellulari e, di conseguenza, dell’impossibilità di attaccare la maggior parte degli utenti in un colpo solo, gli autori di virus hanno dovuto in primo luogo ridurre significativamente il lavoro focalizzato su una singola piattaforma e , in secondo luogo, risolvere il problema di rendere cross-platform le proprie attività.
Parleremo in seguito dei risultati e successi ottenuti in questo campo.

Famiglie e varianti. Statistiche e variazioni

L’elenco completo dei malware per telefoni cellulari, presentato nella prima parte di "Virologia della telefonia mobile", è datato 30 agosto 2006 e in esso sono indicate cinque piattaforme soggette ad attacchi. Nel corso degli ultimi tre anni se ne è aggiunta una nuova: la piattaforma S/EGOLD (SGold secondo la classificazione "Kaspersky Lab"), sulla quale operano i telefoni Siemens. Questa piattaforma è aperta, il che permette agli utenti di installare sul telefono le proprie applicazioni.

Piattaforma N. di famiglie N. di varianti Symbian 62 253 J2ME 31 182 WinCE 5 26 Python 3 45 SGold 3 4 MSIL 2 4
Rappresentazione grafica dei dati:


Distribuzione delle varianti individuate in base alla piattaforma

Gli autori di virus, occorre riconoscerlo, sono riusciti a trovare la soluzione al problema della scelta della piattaforma-obiettivo. Ciò è avvenuto nel corso dei tentativi di realizzare la "crossplatformness". Dopo aver abbandonato il lavoro  sulle singole piattaforme, i malintenzionati hanno infatti rivolto la propria attenzione a Java 2 Micro Edition.

Tale scelta è dovuta al fatto che praticamente tutti i cellulari moderni (per non parlare degli smartphone) supportano Java e permettono di utilizzarne applicazioni scaricabili da Internet. Dedicandosi alla realizzazione di applicazioni malware Java, gli autori di virus non solo sono riusciti a superare i limiti delle singole piattaforme, ma addirittura ad aumentare sensibilmente la "zona di infezione" minacciando infatti non soltanto gli utilizzatori di smartphone, ma praticamente tutti gli utenti di normale telefonia mobile.

A fine agosto 2006 esistevano 31 famiglie e 170 modifiche. A metà agosto di quest’anno avevamo isolato 106 famiglie e 514 varianti di oggetti identificati per telefoni cellulari. Secondo questi dati, in tre anni il quantitativo di oggetti dannosi per telefoni cellulari individuati è aumentato del 202%. Il numero di famiglie di prodotti è aumentato del 235%.


Aumento delle varianti note (2004-2009)


Distribuzione della manifestazione delle nuove varianti per mese (2004-2009)

Oggetti dannosi per telefoni cellulari individuati, apparsi tra settembre 2006 e agosto 2009, suddivisi per famiglie:

Famiglia

Data di individuazione

Piattaforma

Breve descrizione delle funzioni

Quantità di varianti Wesber Sett.06 J2ME

Invio SMS

1 Acallno Sett.06 Symbian

Furto dati e informazioni

2 Flerprox Ott.06 Symbian

Sostituzione dei programmi che caricano il sistema

2 Hidmenu Ott.06 Symbian

Occultamento dei menù

1 Unlock.a Ott.06 Symbian

Rimozione del blocco del telefono

1 Smarm Gen.07 J2ME

Invio SMS

10 Mead Feb.07 Sgold

Contagio file

2 Mrex Mar.07 Symbian

Modifica dello schema dei colori

1 Viver Mag.07 Symbian

Invio SMS

2 Feak Mag.07 Symbian

Invio SMS con allegato il virus zippato

1 SHT Ago.07 Symbian

Utility per hacker

1 Konopla Ago.07 Sgold

Corrompe le impostazioni di installazione, sostituisce temi e sfondi e le immagini

1 Reboot Ago.07 Symbian

Riavvio del telefono

2 Delcon Ago.07 Symbian

Cancellazione contatti

1 SMSFree Ott.07 J2ME

Invio SMS

10 Flocker Ott.07 Python

Invio SMS

44 Deladdr Nov.07 Sgold

Cancellazione dei file dal telefono (rubrica telefonica, applicazioni, SMS, profili WAP)

1 HatiHati Dic.07 Symbian

Propagazione attraverso le schede di memoria MMC, invio SMS

1 Fonzi Gen.08 Symbian

Cancellazione file

1 Killav Gen.08 Symbian

Cancellazione antivirus

3 Beselo Gen.08 Symbian

Diffusione attraverso Bluetooth e MMS

2 Swapi Feb.08 J2ME

Invio SMS

44 SrvSender Mar.08 Symbian

Risposta automatica ai messaggi e chiamate in entrata con SMS casuali, cancellazione dei messaggi

1 Kiazh Mar.08 Symbian

Estorsione di denaro, cancellazione di tutti gli SMS in ingresso e in uscita

1 InfoJack Mar.08 WinCE

Copia su memorie di massa (dischi), furto di informazioni, caricamento automatico di software all’insaputa dell’utente, disattivazione sistemi di difesa

3 Gpiares Apr.08 Symbian

Invio SMS

2 Kuku Mag.08 Symbian

Invio SMS

1 SmsSpy Mag.08 Symbian

Invio dei messaggi dell’utente a un numero indicato nel file .cfg

1 Forvir Mag.08 Symbian

Apparizione di falsi messaggi di errore di sistema o guasti al telefono, installazione virus

1 Hoaxer Mag.08 J2ME

Invio SMS

6 KillPhone Mag.08 Symbian

Blocco totale del telefono, che non può essere utilizzato in alcun modo dopo il riavvio

3 Xanel Mag.08 J2ME

Invio SMS

4 SMSi Mag.08 J2ME

Invio SMS

15 Konov Mag.08 J2ME

Invio SMS

14 Kros Giu.08 Symbian

Sostituzione dei file eseguibili

1 Blocker Giu.08 Symbian

Blocco di alcune funzioni del sistema operativo del telefono

1 Boxer Set.08 J2ME

Invio SMS

15 Redoc Set.08 WinCE

Invio SMS

19 Espaw Set.08 J2ME

Invio SMS

7 KaspAV Ago.08 J2ME

Antivirus fittizio

3 PMCryptic Ott.08 WinCE

Companion virus polimorfo, worm (schede di memoria)

1 MultiNum Ott.08 Symbian

Invio SMS

1 Razan Ott.08 J2ME

Invio di falsi messaggi relativi all’infezione del telefono da parte di virus

1 Onro Ott.08 J2ME

Invio SMS

3 DoctorW Nov.08 J2ME

Antivirus fittizio

1 SMSSender Nov.08 J2ME

Invio SMS

1 Sspy Dic.08 Python Spyware 1 Tagsa Dic.08 Symbian

Invio SMS

1 Small Dic.08 J2ME

Invio SMS

7 Noti Gen.09 J2ME

Contenuto mobile via SMS

1 Okpon Gen.09 J2ME

Invio SMS

1 Yxe Gen.09 Symbian

Moltiplicazione via SMS, acquisizione informazioni

4 CoS Gen.09 Symbian

Utility per hacker per l’invio di SMS dal formato speciale

2 Kinap Gen.09 Symbian

Modifica font, icone, loghi

7 Vers Feb.09 Symbian

Invio SMS

1 Yakki Feb.09 Symbian

Cancellazione font

1 Disabler Feb.09 Symbian

Blocco SMS, MMS, chiamate

1 Getas Feb.09 J2ME

Imitazione virus

1 Xef Feb.09 J2ME

Invio SMS

2 GameSat Feb.09 J2ME

Invio SMS

1 Rebrew Feb.09 J2ME SMS-Flooder 1 Mexasa Mar.09 J2ME

Leggi anche:  DSPM, Rubrik presenta la prima suite in grado di proteggere i dati ovunque si trovino

Invio SMS

4 Xavava Mar.09 J2ME

Invio SMS

3 Kblock Mar.09 Symbian

Blocco del telefono

1 Garlag Mar.09 J2ME

Invio SMS

2 Redrob Mar.09 J2ME

Invio SMS

4 Fnusob Mar.09 J2ME

Invio SMS

1 Pornidal Apr.09 Symbian

Chiamate a numeri a pagamento

2 SMSRtap Apr.09 Symbian

Monitoraggio SMS, chiamate e altro

3 Trojan-SMS.Agent Mag.09 J2ME

Invio SMS

4 Caneo Giu.09 Symbian

Monitoraggio SMS, chiamate e altro

2 Crymss Giu.09 J2ME

Invio SMS

1 Smypa Giu.09 Python SMS-Flooder 1 Enoriv Lug.09 Symbian

Invio SMS

1 Smofree Ago.09 J2ME

Chiamate a numeri a pagamento

1
Totale: 75 nuove famiglie

Dal 2006 al 2009 il numero dei malware per cellulari si è triplicato. Ciò significa che la tempistica di crescita rilevata durante il "primo stadio" (2004-2006) è rimasta inalterata.

Quali sono le novità?

Tre anni fa il nostro elenco delle potenziali azioni dannose dei malware mobili comprendeva:

• Diffusione attraverso Bluetooth e MMS
• Invio di SMS
• Contagio di file
• Controllo a distanza dello smartphone
• Modifica o sostituzione di icone e applicazioni di sistema
• Installazione di font o applicazioni "falsi" o erronei (non operativi)
• Lotta agli antivirus
• Installazione di altri programmi dannosi
• Blocco del funzionamento della scheda di memoria
• Furto di dati e informazioni

Nel corso degli ultimi tre anni, nel mondo dei programmi dannosi per cellulari sono apparse nuove tecnologie e nuovi impieghi:

• Diffusione per mezzo delle unità di memoria mobili (schede flash)
• Corruzione dei dati dell’utente
• Disattivazione delle difese interne del sistema operativo
• Scaricamento di file da Internet
• Chiamate a numeri a pagamento
• Polimorfismo

Tecniche e metodi

Un numero considerevole di programmi dannosi per personal computer utilizza tecniche di auto-copiatura sulle memorie di massa (dischi o penne USB). Questo primitivo metodo di diffusione si è dimostrato, purtroppo, estremamente efficace.

E gli autori di virus mobili hanno pensato bene di seguire la "moda" e di utilizzare tale metodo anche nei propri malware. Un esempio di malware di questo tipo è Worm.WinCE.InfoJack, che esegue copie di se stesso sui dischi E:. Negli smartphone su cui è installato il sistema operativo Windows Mobile, tale lettera indica la scheda di memoria del telefono.

Oltre al metodo di diffusione, il worm InfoJack ha alcune interessanti peculiarità. Innanzitutto, il malware si riproduce nei file di installazione .cab nei quali, oltre alle sue copie, si trovano applicazioni e giochi perfettamente legali. È evidente che tale metodo viene utilizzato anche per mascherare le attività del malware.

In secondo luogo, InfoJack disattiva la verifica della firma digitale delle applicazioni (uno dei meccanismi di difesa di Windows Mobile). In tal modo, il sistema operativo non emette alcun avviso in merito all’assenza della firma qualora l’utente tenti di installare un’applicazione che ne sia priva (e quindi potenzialmente dannosa).

Inoltre, quando lo smartphone si collega a Internet, il worm prova a scaricare dalla rete ulteriori moduli aggiuntivi di lavoro. In altre parole InfoJack svolge anche la funzione di downloader. E come ciliegina sulla torta aggiungiamo l’ultima caratteristica: l’invio dei dati personali dell’utente dello smartphone al mittente del malware.

Quindi, riassumendo, cos’è Infojack? È un malware in grado di duplicarsi, scaricare file da Internet, disattivare le soluzioni di difesa del sistema operativo e spiare la vittima; e in più ha anche un sistema di mascheramento niente male.

Anche il worm Worm.WinCE.PMCryptic.a potrebbe essere un esempio di worm che si copia su scheda di memoria. In realtà però è un’altra peculiarità a renderlo unico: è il primo worm polimorfo/companion virus [http://www.securelist.com/ru/glossary?glossid=151519206] per smartphone! Questo worm cinese non è stato ancora colto in flagrante, ma si dispone solo di "prove della sua possibile esistenza". E tuttavia, anche la sola possibilità che esistano malware polimorfi per smartphone non promette nulla di buono.

Anche i diversi tipi di hack trojan piuttosto primitivi, che corrompono o distruggono i dati personali dell’utente presenti sullo smartphone, hanno causato diversi problemi agli utenti di dispositivi di questo tipo.

Uno di loro è Trojan.SymbOS.Delcon.a. Si tratta di un trojan per smartphone che usano il sistema operativo Symbian la cui dimensione è di soli 676 byte! Dopo l’inizializzazione del file sis, il file contacts.pdb, che contiene tutti i contatti dell’utente, viene sovrascritto da un file con lo stesso nome generato dal malware. Il file contacts.pdb del malware contiene il seguente testo:

"If you have installed this program you are really stupid man 😀
Series60 is only for professionals…(c)
by KoS. 2006 ))"

"Se hai installato questo programma, allora sei proprio un’idiota 😀
Series60 è solo per i professionisti…(c)
KoS. 2006 ))"

Prima della comparsa di not-a-virus:Porn-Dialer.SymbOS.Pornidal.a, che effettua chiamate a numeri internazionali a pagamento, programmi simili esistevano solo per i computer.

Il programma not-a-virus:Porn-Dialer.SymbOS.Pornidal.a opera nella seguente maniera: quando l’utente lancia il file .sis, viene visualizzato il testo di un accordo di licenza, nel quale si spiega che l’applicazione eseguirà chiamate su numeri internazionali a pagamento per garantire l’accesso completo a siti dal contenuto pornografico. I numeri chiamati sono di vari paesi sparsi per il mondo (4 paesi europei, 4 africani, 1 in Oceania).

La pericolosità intrinseca di programmi di questo tipo sta innanzitutto nel fatto che il programma potrebbe essere modificato dai criminali informatici in modo tale da renderlo pericoloso ed essere utilizzato per ottenere introiti illeciti. Basterebbe, ad esempio, togliere dall’accordo di licenza il testo che avvisa che le chiamate vengono effettuate su numeri a pagamento.

In secondo luogo, la maggioranza degli utenti legge distrattamente gli accordi di licenza e spesso li accetta in automatico. A causa di ciò gli utenti spesso ignorano la funzione dell’applicazione stessa (in questo caso – chiamate a numeri a pagamento).

 

Trojan-SMS: la minaccia più grave

Confrontando il comportamento dei malware degli ultimi due anni con quelli che li hanno preceduti, risulta chiaro che a dominare in quanto a gravità è l’invio di SMS su diversi numeri a pagamento all’insaputa e senza l’autorizzazione del’utente. Se tre anni fa questo tipo di funzione era presente solo in due famiglie di malware, oggi la si trova in ben 32 famiglie!

L’invio di SMS è presente in circa il 35% di tutte le varianti conosciute di malware per cellulari/smartphone. Ciò significa che i trojan-SMS sono i leader dei malware mobili. La causa di tale situazione è descritta nel resoconto analitico sulla crescita delle minacce nel primo semestre del 2008: http://www.securelist.com/ru/analysis?pubid=204007623#mb

Descrizione del funzionamento

La piattaforma principale per l’azione dei trojan-SMS è Java 2 Micro Edition. I trojan-SMS scritti per funzionare con J2ME sono pericolosi in quanto cross-platform. Se in un cellulare (anche un comune cellulare, non necessariamente uno smartphone) è presente una Java Machine, allora Trojan-SMS.J2ME può funzionare su quel telefono senza problema alcuno.

La maggior parte dei trojan J2ME ha la seguente struttura: un archivio .jar che racchiude diverse classi di file, una delle quali effettua l’invio degli SMS al numero a pagamento. Le altre classi di file hanno finalità esclusivamente mimetiche. All’interno dell’archivio possono trovarsi anche alcune immagini (in gran parte a contenuto erotico) e perfino un file manifest, anch’esso in alcuni casi utilizzato dal malware per diffondere i programmi dannosi.

Poco dopo il lancio, Trojan-SMS.J2ME tenta di mandare un SMS con un testo specifico a un numero a pagamento. La Java machine in questi casi avverte l’utente, con un messaggio, che l’applicazione sta tentando di mandare un SMS. Ciò potrebbe insospettire l’utente, che quindi potrebbe rifiutare l’invio. Alcuni autori di virus per ovviare a questo problema hanno iniziato ad adottare metodi di mascheratura più elaborati per i comportamenti dannosi dei loro prodotti, talvolta con soluzioni davvero originali.

Ad esempio Trojan-SMS.J2ME.Swapi.g dopo il lancio mostra sul display del telefono un messaggio che propone di visualizzare un’immagine pornografica. Per accettare è necessario premere il tasto di conferma quando viene udito un apposito segnale acustico (negli archivi jar i programmi spesso vengono nascosti in file png con immagini e melodie mid). Mentre cerca di premere il tasto al momento giusto, l’utente non si rende conto che a ogni pressione (che sia al momento "giusto" oppure no) causa l’invio di un SMS al numero a pagamento con relativo addebito della somma sul proprio conto.

Ecco il testo di uno dei siti in cui i criminali informatici offrono i loro servizi di produzione di programmi dannosi, naturalmente a pagamento: "Programma molto redditizio, offerto sotto forma di album fotografico. Al momento del lancio viene visualizzata una gradevole immagine e appare il testo ‘Per proseguire devi avere 18 anni. Hai 18 anni?’. Se l’utente preme "Sì" verrà inviato un SMS a un numero a pagamento…".

I programmi della famiglia Trojan-SMS.Python.Flocker, anche se sviluppati su un’altra piattaforma (Python), per struttura e funzioni sono praticamente identici ai trojan J2ME. Nell’archivio sis è presente uno script di base, scritto in linguaggio Python, che invia un SMS a un numero a pagamento, più altri file aggiuntivi che servono da copertura per le attività principali del malware.

Tra le diverse varianti di Flocker non c’è praticamente alcuna differenza (in pratica l’unica cosa che cambia è il numero breve a cui viene inviato l’SMS). Ciò sembra indicare che i codici sorgente dello script, utilizzati da questa famiglia di malware, probabilmente provengono dal medesimo punto di accesso pubblico.

Questa ipotesi è stata confermata. In uno dei forum pubblici è stato depositato uno script in linguaggio Python, e alcuni suoi frammenti erano identici agli script dei malware a noi già noti. Inoltre, è interessante notare che tale script scaricabile era anche in grado di infettarne altri in Python presenti all’interno del telefono.

Leggi anche:  Il duplice impatto dell'IA sul panorama della sicurezza informatica

Diffusione

In Russia i diversi tipi e varianti di trojan-SMS vengono utilizzati continuamente. Il metodo più popolare (tra i non molti disponibili) di diffusione di tali programmi è attraverso i portali WAP, dove ai visitatori viene offerto di scaricare suonerie, immagini, giochi e applicazioni per il cellulare. La maggior parte dei trojan si maschera o da applicazione in grado di inviare SMS gratuiti o di connettersi gratuitamente alla rete Internet dal cellulare, oppure da allegato a contenuto erotico o pornografico.

Viene da chiedersi: ma perché proprio i siti WAP? Perché la Russia è uno dei quattro paesi in cui si utilizzano maggiormente i servizi Internet mobili. E molti utenti utilizzano i servizi WAP di scambio file per scaricare sul cellulare contenuti di vario tipo.

Nella maggior parte dei casi, i malware si trovano e vengono distribuiti su siti che offrono servizi di archiviazione. La facilità con cui ci si può registrare in questi siti (spesso non c’è neanche bisogno di registrarsi), unita al fatto che nella maggior parte dei casi l’accesso è gratuito, ha permesso ai criminali informatici di diffondere i propri malware primitivi senza alcun ostacolo.

Agli autori di virus basta spesso dare al file un nome il più attraente possibile per le potenziali vittime (free_gprs, sms_gratis, super_porno e così via), aggiungervi un commento altrettanto allettante e aspettare che qualche utente decida di "inviare un SMS gratis" o "guardare immagini erotiche".

Dopo avere collocato il malware, ai malintenzionati non resta che pubblicizzarlo in modo adeguato. Per raggiungere tale scopo ricorrono a invii di massa via ICQ o allo spam su forum di vari tipi. Perché proprio ICQ? Ricordiamo che questo servizio di messaggistica immediata è molto popolare in Russia e nei paesi della CSI. Molti utenti che desiderano uno strumento di comunicazione/socializzazione ricorrono ai client mobili ICQ. Queste persone sono, per i criminali informatici, vittime potenziali.

Sistema di finanziamento

Sono proprio gli SMS, almeno per ora, l’unico modo in cui gli autori di virus mobili possono ottenere profitti illegali. Già nella metà del 2007, nel corso delle ricerche svolte dopo l’apparizione del primo trojan-SMS per Symbian (Viver), Kaspersky Lab ha indagato in modo approfondito sul sistema di finanziamento legato a questo malware . Tale schema, in linea di massima, è tuttora attuale e viene utilizzato da tutti i trojan-SMS.

Per ottenere profitti illegali, in Russia i criminali informatici devono pagare un prefisso su uno dei tanti numeri brevi (a pagamento). Molti autori di virus, invece di acquisire per proprio conto tale prefisso decidono di partecipare ai cosiddetti programmi di partnership. Registrandosi sui siti dei partner, i cybercriminali possono utilizzare non l’intero prefisso ma la combinazione "prefisso + ID partner".

Così facendo, le somme, sottratte agli utenti dei cellulari infettati, vengono suddivise tra i partecipanti al programma di partnership.

SMS truffa

I malware per cellulari non rappresentano l’unica minaccia grave. Purtroppo anche gli SMS truffa sono divenuti molto popolari tra i criminali informatici, e la minaccia si è ormai da tempo estesa su scala internazionale.

Nel 2007 è stato pubblicato un annuncio ufficiale del ministero delle telecomunicazioni indiano in cui si parlava della crescita inarrestabile degli SMS di phishing nel paese e si prendeva in considerazione la possibilità di far chiudere gli operatori che gestiscono gli SMS, inviati dall’estero attraverso gateway Web.

Nei messaggi truffa diffusi in India, l’utente veniva informato della necessità di chiamare un determinato numero e "confermare" alcuni dettagli della transazione. All’utente rispondeva una segreteria telefonica che richiedeva informazioni confidenziali e altri requisiti della transazione. Naturalmente la segreteria telefonica faceva parte della truffa. Altri schemi di truffa simili a questo sono piuttosto popolari non solo in India ma in molti altri paesi.

È necessario ricordare un fatto di non poco conto: gli operatori di telefonia mobile prestano molta attenzione a questo problema. Gli operatori si dedicano attivamente all’informazione dell’utente, pubblicando informazioni sui diversi tipi di minacce, esempi del funzionamento degli attacchi, esempi di messaggi di phishing e anche consigli su come comportarsi in caso di ricezione di messaggi sospetti.

In Russia i criminali informatici usano schemi e procedure diversi, che illustreremo più dettagliatamente.

Variante 1. Il malintenzionato prepara un SMS dal contenuto simile a questo: "Ciao, ho dei problemi ma non posso raccontarti tutto. Inviami dei soldi su questo numero oppure su +79xx-xxx-xx-xx, te li restituisco appena posso". Si noti che i messaggi di questo tipo non contengono alcuna firma né si rivolgono in modo esplicito al destinatario, quindi qualsiasi utente potrebbe usarli per proprio tornaconto.

Naturalmente, chiamando uno dei due numeri indicati l’utente riceverà, come unica risposta, un messaggio del tipo "l’utente da lei chiamato non è al momento raggiungibile". Dopo di che, l’utente stesso potrebbe pensare: "sarà mica successo qualcosa a uno dei miei amici o parenti?" e decidere di mandare dei soldi sul numero di cellulare del criminale.

Variante 2. Il secondo sistema utilizza SMS a pagamento ai numeri brevi . Il testo del messaggio ingannevole può essere di diversi tipi. Ad esempio: "Ciao, Manda un SMS con il testo *** al numero 3649, ti verranno accreditati 150 rubli sul cellulare! L’SMS è gratis, io l’ho provato e funziona". Oppure: "Buongiorno! Il tuo numero ha vinto! Per ricevere il premio invia un SMS con il testo *** al numero 1171. Costo dell’SMS: 3 rubli".

Caratteristiche principali degli attacchi di questo tipo:

1. I criminali informatici utilizzano i numeri a pagamento più costosi.

2. Gran parte dei messaggi offrono all’utente una "ricarica bonus" o un "premio".

3. Il messaggio non ha firma né si rivolge al destinatario in alcun modo.

È importante anche notare un fatto di non scarsa importanza, e cioè che tali messaggi vengono inviati non solo a chi ha un cellulare, ma anche a chi usa ICQ. Inoltre, si riscontrano nella comune posta elettronica, nonché nei messaggi diffusi nei social network.

Vulnerabilità

All’inizio del 2009 è stata scoperta una nuova vulnerabilità negli smartphone che utilizzano l’ultima generazione del sistema operativo Symbian:

1. S60 2nd edition, Feature Pack 2;

2. S60 2nd edition, Feature Pack 3;

3. S60 3rd edition;

4. S60 3rd edition, Feature Pack 1.

Che cos’è questa vulnerabilità e come viene sfruttata? Se nel telefono gestito da uno dei sistemi operativi di cui sopra viene spedito un SMS con un contenuto e una struttura ben specifici, il telefono attaccato smette di ricevere e inviare gli SMS e gli MMS. L’SMS non viene visualizzato nell’elenco dei messaggi in arrivo.

Inoltre non rimangono tracce visibili dell’attacco. È per questo che è stato soprannominato “Curse of Silence” ("La maledizione del silenzio").

Anche se il servizio SMS viene interrotto, le restanti funzionalità del telefono rimangono inalterate, quindi passa un po’ di tempo prima che l’utente si accorga che c’è qualcosa che non va nel proprio smartphone. Purtroppo né la cancellazione dei messaggi in ingresso e in uscita, né il riavvio del telefono possono risolvere il problema dell’impossibilità di ricevere/inviare SMS. L’hard-reset dello smartphone è l’unica cosa che in una certa misura aiuta.

Minacce per cellulari attive

Nelle precedenti parti di "Virologia della telefonia mobile" abbiamo presentato le statistiche sulla diffusione dei worm Bluetooth e MMS nei vari paesi. Cabir e ComWar sono i malware che hanno riportato una diffusione maggiore: entrambi sono stati individuati in più di 30 paesi. L’evento che ha fatto più clamore è stata l’infezione, da parte di una delle varianti di ComwWar, di più di 115 mila utenti in Spagna la scorsa primavera.

Ma la maggiore attenzione rivolta dagli operatori di telefonia mobile all’apparizione di worm e allo sviluppo di tecniche di controllo antivirus applicabili al traffico MMS ha permesso di arrestarne la crescita. Hanno inoltre contribuito all’arresto delle epidemie locali la comparsa e la diffusione di antivirus per telefonia, la loro inclusione nei pacchetti preinstallati nei cellulari, la presenza di nuovi metodi di difesa interni ai sistemi operativi (esecuzione di applicazioni solo se dotate di firma) e la graduale rimozione dal mercato dei modelli compatibili con Cabir e ComWar.

Tuttavia, nel corso degli ultimi tre anni è venuto alla luce almeno un nuovo worm che potrebbe diffondersi in diversi paesi d’Europa.

Worm.SymbOS.Beselo

Alla fine di dicembre del 2007 nei database degli antivirus è apparso un nuovo clone di ComWar, la variante .y. Quando, nel 2008, si è inserito nel traffico di uno dei maggiori operatori di telefonia mobile europei, il worm ha iniziato a mostrare i segni distintivi di un’identità autonoma.

L’analisi svolta dall’azienda finlandese F-Secure ha rivelato che si trattava effettivamente di una famiglia completamente nuova, priva di radici in comune con il worm ComWar apparso tre anni prima in Russia.

Il suo principio operativo, identificato come Worm.SymbOS.Beselo.a (poco dopo ne apparve una nuova variante, Beselo.b), è molto simile a ComWar ed è un comportamento classico dei worm di questo tipo. La diffusione avviene attraverso l’invio di file SIS infetti via MMS e Bluetooth. Dopo l’installazione sul dispositivo infettato, il worm inizia a inviarsi ai vari numeri nella rubrica dello smartphone, nonché ai dispositivi che riesce a raggiungere nel raggio d’azione Bluetooth.

Leggi anche:  Direttiva NIS2 e organizzazioni italiane: le risposte di Sangfor Technologies

Fortunatamente è stato possibile arrestare la diffusione di Beselo piuttosto in fretta, e da quel momento non sono più stati individuati worm per cellulari in azione in Europa.

Ma nel frattempo sono scesi in campo i paesi asiatici con alla testa la patria d’origine della gran parte dei virus informatici di oggi: la Cina.
Worm.WinCE.InfoJack

All’inizio del 2008 sono iniziate a circolare notizie di infezioni da parte di un malware sconosciuto, che operava su Windows Mobile. Si trattava del trojan InfoJack.a, menzionato in precedenza.

La diffusione di questo malware ha avuto origine da uno dei siti cinesi di distribuzione (legale) di software di vario tipo. Il trojan è stato incluso nei kit di distribuzione di prodotti per telefoni cellulari, ad esempio client per Google Maps e giochi. I responsabili del sito da cui ha iniziato a diffondersi il trojan hanno comunicato che il programma non aveva intenti criminosi e si limitava a raccogliere informazioni sugli utenti al fine di migliorare il servizio e analizzare il mercato delle applicazioni per cellulari.

Dopo alcuni giorni il sito ha chiuso i battenti, probabilmente in seguito a indagini svolte dalla polizia cinese. Da quel momento in poi il bersaglio principale degli hacker cinesi sono divenuti gli utenti di cellulari e giochi on-line. Tuttavia il caso InfoJack mostra come in Cina sussista l’effettiva possibilità che si diffonda un’epidemia di virus per cellulari.

La Cina è divenuto così il paese maggiormente colpito dal trojan di Windows Mobile. Probabilmente l’autore di InfoJack non aveva davvero intenzioni criminose, ma di fatto il suo lavoro ha spianato la strada a…

Worm.SymbOS.Yxe

Dopo circa un anno, a gennaio 2009, abbiamo individuato un malware per cellulari che funzionava su dispositivi con sistema operativo Symbian. Inizialmente si pensava che non potesse portare nulla di nuovo o interessante, ma non è stato così.

Worm.SymbOS.Yxe è stato il primo di una nuova famiglia di worm Symbian che non si vedeva da parecchio tempo. Si differenzia dai suoi predecessori nella modalità di diffusione: non mediante Bluetooth, né attraverso gli MMS, ma sfruttando gli SMS!

Worm.SymbOS.Yxe invia un SMS (dal contenuto molto frivolo) con un link all’interno (http://www*****.com/game) a tutti i contatti del telefono infettato. Nel link indicato si trova un programma d’installazione in Symbian con due file all’interno: il file eseguibile (.exe) e il file secondario rsc. Se l’utente accetta di installare l’applicazione, poco dopo il worm inizia a inviare SMS agli utenti nella lista contatti del telefono infettato, generando in tal modo un traffico di SMS maligni.

A ben vedere è stato proprio il worm Worm.SymbOS.Yxe l’origine del notevole numero di articoli pubblicati in Cina, nonché l’argomento di molte discussioni sui forum cinesi, dei reclami dovuti agli SMS incomprensibili e così via. Nelle pubblicazioni si parlava di messaggi SMS dal contenuto pornografico con link non chiari, invio non autorizzato di messaggi a tutto l’elenco contatti e perdita di credito dal cellulare a seguito dell’invio degli SMS.

Ma questo worm è riuscito a distinguersi in altro modo: come il primo ad essere sviluppato per gli smartphone con sistema operativo Symbian S60 3rd edition che dispone di un certificato con firma perfettamente legale. Di conseguenza può installarsi praticamente su qualsiasi smartphone con sistema operativo Symbian S60 3rd edition.

Informazioni sul certificato:

       

Il fatto più interessante è che il certificato, a giudicare dalla firma, ha 10 anni. Siamo riusciti a stabilire che il malware ha ricevuto la certificazione grazie a una procedura di firma automatica.

Trojan-SMS.Python.Flocker

Gennaio 2009 è stato un mese molto ricco dal punto di vista delle apparizioni di nuove famiglie di malware per cellulari. Oltre al summenzionato wormYxe e all’exploit Curse of Silence per gli smartphone con sistema operativo Symbian, abbiamo isolato alcune nuove versioni di Trojan-SMS.Python.Flocker (ab-af).

                       

Una delle varianti di Trojan-SMS.Python.Flocker

Cosa hanno di speciale le sei nuove varianti di questa famiglia? Dal momento della loro comparsa, tutte le varianti da noi registrate dei programmi denominati trojan-SMS sono state sviluppate in territorio post-sovietico, e gli SMS vengono inviati a numeri appartenenti a operatori mobili russi.

Tutte le nuove varianti di Flocker inviano SMS al numero a pagamento 151, che non è registrato in Russia. Inoltre, fino a questo punto non erano mai stati rilevati SMS inviati a numeri a pagamento a tre cifre. Anche il testo del messaggio ha le sue peculiarità: TP <12 cifre> <4 o 5 cifre>.

Di cosa si tratta? Di malware che inviano SMS allo stesso numero breve con testi simili. Viene spontaneo porsi la solita domanda: e i soldi?

Molto tempo prima dell’isolamento della nuova versione di Flocker è stato pubblicato un comunicato stampa da parte di uno degli operatori di telefonia mobile indonesiani, nel quale si annunciava che i possessori di alcune specifiche SIM potevano trasferire parte del proprio credito sul conto di amici/parenti/conoscenti con lo stesso tipo di carta SIM. Per eseguire l’operazione è necessario inviare un messaggio al numero 151 con il seguente testo: TP .

Tale opportunità è stata sfruttata dai truffatori, e i trojan, di origine russa, sono stati modificati per essere usati dagli operatori di rete mobile indonesiani e diffusi tra gli utenti indonesiani.

Tutti i casi elencati in precedenza dimostrano che le minacce per telefoni cellulari si diffondono in tutto il mondo, anche se con tendenze diverse: invece di epidemie globali di worm assistiamo a focolai di infezione locali, concentrati sugli abitanti di un singolo paese o regione. Questo stato di cose coincide perfettamente con la situazione attuale relativa ai virus per computer.

Allo stato attuale, i paesi maggiorente interessati dal problema dei virus sono Russia, Cina, Indonesia e quelli dell’est europeo.

Conclusioni

La popolarità degli smartphone (usati sempre più di frequente per lavoro, per l’accesso a Internet, per operazioni bancarie, per il pagamento di merci e servizi) ha fatto aumentare il numero di truffatori che desiderano sfruttarli.

I malware moderni sono in grado di eseguire molte operazioni: conservare e spedire i dati contenuti nella rubrica telefonica e altre informazioni, bloccare completamente il dispositivo, permettere l’accesso remoto ai criminali informatici, spedire SMS e MMS ecc. Nelle imprese, a usare gli smartphone sono coloro che lavorano da casa o si trovano in trasferta.

Anche la semplice messa fuori uso del telefono (a causa dell’attacco di un malware) è di per sé un problema serio in questi casi. E se i cybercriminali riescono a ottenere l’accesso alla rete aziendale (o al sistema di posta elettronica), l’impresa corre grossi rischi.

Per quanto riguarda l’iPhone (4% del mercato mondiale dei telefoni cellulari e 20% di quello americano) e Android, i rischi di attacco da parte di malware sono piuttosto diversi tra le due piattaforme. Per quanto riguarda l’iPhone, vi è rischio d’infezione solo se l’utente installa applicazioni di provenienza non ufficiale. Android (probabilmente) non svilupperà mai un legame sufficientemente forte con i fornitori ufficiali di file e pertanto i possessori "legali" di telefoni di questo tipo potranno installare sul proprio dispositivo tutto ciò che fa loro comodo.

In ogni caso è ancora troppo presto per parlare di come si evolveranno i malware per iPhone e Android. A nostro parere, il rischio principale per queste piattaforme sarà rappresentato dalle vulnerabilità del software utilizzato e dalla possibilità di accesso che tali vulnerabilità offrono ai criminali.

Attualmente assume molta rilevanza l’inizio dello scontro commerciale tra netbook e smartbook. La differenza tra i primi e i secondi sta nel fatto che gli smartbook sono stati sviluppati su un’architettura completamente diversa: quella di un cellulare analogico. Secondo gli esperti del settore, il 98% dei processori per dispositivi mobili, ivi incluso Apple iPhone, si basa sull’architettura di processori ARM.

Nelle intenzioni dei suoi inventori, lo smartbook dovrebbe riunire le caratteristiche migliori del netbook e dello smartphone: utilizzo di una tastiera vera e propria, display più grande, leggerezza e grande autonomia di lavoro. E il vantaggio principale è che la piattaforma supporta tutte le reti mobili e gli smartbook dispongono, di serie, di modem incorporati nel processore. Ciò garantisce un accesso più facile e trasparente ai servizi mobili e ai programmi nella shell.

D’altra parte, Intel sta cercando di realizzare un mercato per dispositivi di telefonia mobile che usano il processore proprietario Atom. Alla fine di quest’anno i processori Atom verranno immessi sul mercato sotto forma di sistemi System-on-a-Chip (SoC). In pratica ciò significa che la ben nota grande quantità di programmatori che lavorano su architetture di microprocessori x86 potrà lavorare su dispositivi di ogni tipo: chip per automobili, chip per frigoriferi e forni a microonde, aspirapolvere, macchine da caffè e quant’altro.

Tutti questi fattori, oltre all’atteso scontro tecnologico, potrebbero stravolgere completamente la situazione attuale. Gli smartbook potrebbero sembrare prede più appetibili per gli attacchi mediante virus rispetto agli smartphone. Ma allo stesso tempo, l’ingresso dei processori x86 nel mondo degli elettrodomestici potrebbe aumentare la scala delle aree potenzialmente attaccabili, portandola a un livello senza precedenti.

A cura di Alexander Gostev, Global Research and Analysis Team Director di Kaspersky Lab, e Denis Maslennikov, Mobile Research Group Manager.