10 anni fa il primo malware mobile

È una di quelle ricorrenze che non si dovrebbe festeggiare, ma serve per capire quanto (e da quanto tempo) il mobile  rappresenti un punto debole nella sicurezza aziendale: 10 anni fa nasceva il primo malware mobile.

Da Cabir a FakeDefend, l’ultimo decennio ha visto l’esplosione del numero di mobile malware. Nel 2013, i FortiGuard Labs di Fortinet hanno riscontrato più di 1300 nuove applicazioni dannose al giorno e attualmente stanno monitorando oltre 300 famiglie di malware per Android e più di 400.000 applicazioni dannose sempre per Android. Oltre all’impressionante crescita in fatto di numeri, un’altra importante tendenza da notare è che il mobile malware ha seguito la stessa evoluzione del malware per pc, ma con un andamento molto più rapido. L’adozione diffusa degli smartphone e il fatto che possono accedere facilmente a un sistema di pagamento (numeri di telefono a tariffe speciali), li rendono facili obiettivi per generare rapidamente denaro una volta che sono stati infettati. Sono inoltre dotati di capacità come geolocalizzazione, microfoni, GPS integrato e fotocamere, che consentono di mettere in atto un’azione di spionaggio particolarmente invasiva ai danni dei loro proprietari. 

Nella cronologia seguente, i FortiGuard Labs prendono in esame il malware per dispositivi mobile più significativo degli ultimi 10 anni e ne spiegano il ruolo nell’evoluzione delle minacce:

2004: Il primo tentativo

Cabir è il primo mobile worm al mondo. Progettato per infettare i dispositivi Nokia Series 60, il suo attacco si manifesta nella visualizzazione della parola “Caribe” sullo schermo dei telefoni colpiti. Il worm quindi si diffonde cercando altri dispositivi (telefoni, stampanti, console di gioco, ecc), sfruttando la capacità Bluetooth del telefono.

Nota: data la sua natura relativamente inoffensiva, gli esperti ritengono che il worm sia stato sviluppato dal gruppo di hacker chiamato 29A come “proof of concept”, o prova di vulnerabilità.

 

2005: Entrano in gioco gli MMS

CommWarrior, scoperto nel 2005, segue le orme di Cabir aggiungendo la capacità di diffondersi tramite MMS a quella via Bluetooth. Una volta installato sul dispositivo, CommWarrior accede alla rubrica del telefono infetto e si propaga a ogni contatto tramite il servizio MMS del gestore. L’uso degli MMS come metodo di propagazione introduce un aspetto economico, poiché per ogni messaggio MMS inviato, il gestore addebita un costo al proprietario del telefono. Alcuni operatori infatti dichiarano che fino al 3,5% del loro traffico è dovuto a CommWarrior e alla fine decidono di rimborsare le vittime.

Il virus, che prende di mira anche la piattaforma Symbian 60, viene segnalato in oltre 18 paesi in Europa, Asia e Nord America. Vengono colpiti 115.000 dispositivi mobili e inviati oltre 450.000 MMS a insaputa delle vittime, mostrando per la prima volta che un mobile worm può propagarsi tanto rapidamente quanto un worm per PC.

Nota: all’epoca Symbian è la piattaforma per smartphone più diffusa con decine di milioni di utenti in tutto il mondo. Tuttavia, l’obiettivo di CommWarrior è di propagarsi il più possibile e non di trarre vantaggio dagli addebiti causati dai messaggi MMS.

 2006: Inseguendo il profitto

Dopo il successo dimostrato di Cabir e CommWarrior, viene rilevato un trojan chiamato RedBrowser che presenta molteplici differenze fondamentali rispetto ai suoi predecessori. La prima di queste differenze è che viene progettato per infettare i telefoni tramite la piattaforma Java 2 Micro Edition (J2ME). Il trojan si presenta come un’applicazione che semplifica la navigazione dei siti Web WAP (Wireless Application Protocol). Prendendo di mira Java, supportato universalmente, anziché il sistema operativo del dispositivo, gli sviluppatori del trojan riescono a raggiungere un pubblico molto più ampio, a prescindere dal produttore o dal sistema operativo del telefono. La seconda differenza, e probabilmente la più importante, è che il trojan viene creato allo scopo di sfruttare i servizi SMS a tariffa speciale. Al proprietario del telefono viene solitamente addebitato un importo di circa 5 dollari per SMS, un ulteriore passo verso l’uso del mobile malware come mezzo per generare un flusso di denaro.

Nota: fino alla comparsa di RedBrowser, si riteneva impossibile per un singolo malware infettare un’ampia gamma di telefoni cellulari con diversi sistemi operativi. L’uso di J2ME come vettore di attaccorappresenta una svolta importante in questo periodo, così come l’uso degli SMS come meccanismo per generare denaro.

 

2007-2008: Un periodo di transizione

Durante questi due anni, nonostante una stasi nell’evoluzione delle minacce per dispositivi mobili, si registra un aumento nel numero di malware che accedono a servizi a tariffe speciali all’insaputa del proprietario del dispositivo.

 

2009: Introduzione del mobile botnet

All’inizio del 2009, Fortinet scopre Yxes (anagramma di “Sexy”), un malware alla base dell’applicazione apparentemente legittima “Sexy View”. Yxes ha anche la particolarità di essere un’applicazione certificata Symbian, approfittando di una peculiarità dell’ecosistema Symbian che consente agli sviluppatori di “siglare” autonomamente le proprie applicazioni.

Una volta infettato, il telefono cellulare della vittima inoltra la rubrica a un server centrale. Il server invia quindi un SMS contenente un URL a ogni contatto. Facendo clic sul link nel messaggio, viene scaricata e installata una copia del malware e il processo continua a ripetersi.

La diffusione di Yxes si limita principalmente all’Asia, dove infetta almeno 100.000 dispositivi nel 2009.

 

Nota: Yxes costituisce un’ulteriore svolta nell’evoluzione del mobile malware per diverse ragioni. In primo luogo, è considerato il primo malware a prendere di mira il sistema operativo Symbian 9. In secondo luogo, è il primo malware a inviare un SMS e ad accedere a Internet all’insaputa del proprietario del telefono, elemento che costituisce un’innovazione tecnologica in ambito malware. Infine, e probabilmente fatto più importante, il modello ibrido utilizzato per propagarsi e comunicare con un server remoto fa temere agli analisti antivirus che si tratti di un avvertimento per un nuovo tipo di virus: i botnet sui telefoni cellulari. Gli eventi futuri confermeranno questo timore.

 

2010: L’era industriale del mobile malware

Il 2010 segna una tappa importante nella storia del malware per dispositivi mobili, ovvero la transizione da individui o piccoli gruppi localizzati in un’area geografica specifica a cybercriminali organizzati su larga scala che operano a livello mondiale. Questo è l’inizio di una fase di “industrializzazione del mobile malware”, dove gli autori degli attacchi si rendono conto che il malware per dispositivi mobili può facilmente generare molti profitti e decidono pertanto di sfruttarlo in modo più estensivo.

Il 2010 segna anche l’introduzione del primo mobile malware derivato dal malware per PC. Zitmo, Zeus in the Mobile, è la prima estensione conosciuta di Zeus, un trojan altamente virulento sviluppato per il mondo dei PC, che prende di mira le operazioni bancarie. Funzionando in abbinamento con Zeus, Zitmo viene utilizzato per manipolare l’uso dei messaggi SMS nelle transazioni bancarie online, eludendo il processo di sicurezza.

Ci sono altri malware che fanno notizia durante quest’anno, in particolare Geinimi. Geinimi, uno dei primi malware concepiti per attaccare la piattaforma Android, utilizza il telefono infetto come parte di un mobile botnet. Una volta installato sul telefono, comunica con un server remoto e risponde a una gamma talmente ampia di comandi, ad esempio installazione o disinstallazione di applicazioni, che di fatto può assumere il controllo del dispositivo.

Nota: benché l’introduzione del mobile malware per Android e dei mobile botnet sia certamente un fatto significativo durante il 2010, presto questo viene messo in ombra dalla presenza crescente di cybercriminali organizzati che iniziano a sfruttare il valore economico del malware per dispositivi mobili.

 

2011: Android, Android e ancora Android

Con l’intensificazione degli attacchi alle piattaforme Android, il 2011 vede la comparsa di malware ancora più potente. Entra in scena DroidKungFu, tutt’oggi considerato uno dei virus tecnologicamente più avanzati, con diverse caratteristiche uniche. Questo malware include un noto exploit per “radicarsi” o diventare un amministratore del telefono, uDev o Rage Against The Cage, che gli consente di assumere il controllo totale del telefono e di contattare un server di comando. È anche in grado di eludere il rilevamento del software antivirus, dando inizio alla prima battaglia della lunga guerra in corso tra i cybercriminali e la comunità di sviluppo antivirus. Come la maggior parte dei virus precedenti, DroidKungFu è disponile tramite app store non ufficiali di terze parti e forum in Cina.

 

Nel 2011 entra in scena anche Plankton, ancora oggi uno dei malware per Android più diffusi. Perfino su Google Play, l’app store per Android ufficiale, Plankton è presente in un vasto numero di app come versione dannosa di adware, che scarica annunci pubblicitari indesiderati sul telefono, ne modifica la homepage del browser o aggiunge collegamenti o segnalibri al dispositivo.

Nota: con Plankton si passa a un livello superiore ed è infatti uno dei 10 virus più comuni tra tutte le categorie, alla pari dei principali virus per PC. I giorni in cui il malware per dispositivi mobili è in svantaggio rispetto alla controparte per PC sono finiti. Solo con Plankton, ci sono più di 5 milioni di dispositivi infetti.

2013: Al via la sfida – Nuovi metodi di attacco

Il 2013 segna l’arrivo di FakeDefend, il primo ransomware per telefoni cellulari Android. Contraffatto come antivirus, questo malware funziona in modo analogo ai falsi antivirus per PC. Blocca il telefono e richiede alla vittima di pagare un riscatto (in questo caso sotto forma di una quota esorbitante di sottoscrizione a un antivirus) per poter recuperare i contenuti del dispositivo. Tuttavia, il pagamento del riscatto non produce alcun esito e il telefono deve essere rispedito al produttore per ripristinarne le funzionalità.

 

Nel 2013 compare anche Chuli, il primo attacco mirato che include un malware per Android. L’account di posta elettronica di un attivista della World Uyghur Conference, tenutasi dall’11 al 13 marzo 2013 a Ginevra, viene utilizzato per prendere di mira gli account di altre attivisti e sostenitori dei diritti umani in Tibet. I messaggi e-mail inviati dall’account violato includono Chuli come allegato. Il malware è progettato per raccogliere dati come SMS ricevuti, contatti della SIM card e del telefono, informazioni sull’ubicazione e registrazione delle telefonate della vittima. Tutte queste informazioni vengono quindi inviate a un server remoto.

 

Nota: il 2013 può essere considerato come l’anno del “passaggio al professionismo” per gli attacchi ai dispositivi mobili. Più mirati e sofisticati, i malware come FakeDefend o Chuli sono esempi di attacchi che possono essere paragonati a quelli oggi conosciuti nel mondo dei PC.

Inoltre, con un attacco come Chuli, è assolutamente lecito interrogarsi sull’eventuale inizio di un’era di guerra cibernetica mobile e sui possibili coinvolgimenti dei governi e di altre organizzazioni nazionali all’origine di questi attacchi…