immagine-preview

Set 14, 2018

Man-in-the-Disk, la nuova minaccia passa dal mobile

La minaccia specializzata per i dispositivi mobili continua a mietere vittime e la classifica dei malware più incidenti è un continuo fervore di aggiornamenti, ma i ricercatori continuano a scoprire anche nuove tecniche.

I telefoni di nuova generazione sono da tempo un target preferito dai malintenzionati informatici a causa della scarsa protezione che si manifesta nella assenza di installazione di software specifici antivirus e nella fretta degli utenti di cliccare su link presenti in chat, mail e social abboccando ai diversi tentativi di phishing.

Periodicamente sono distribuite le classifiche di incidenza delle diverse famiglie di malware. La varianza e diffusione dei codici malevoli è tale, che si è resa necessaria la divulgazione su base mensile per aumentare la consapevolezza sul rischio e rendere gli utenti informati sul comportamento atteso della minaccia in modo da riconoscerla o preferibilmente, evitarla.

Classifica della minaccia

Dai ricercatori dell’azienda Check Point sono stati resi noti i tre malware per dispositivi mobili più diffusi ad agosto 2018: Lokibot è un trojan bancario che colpisce i sistemi Android e che ruba informazioni, ma può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore. È stato il malware per mobile più diffuso e utilizzato per attaccare i dispositivi delle organizzazioni.

 

Al secondo posto si trova Lotoor che rappresenta una tecnica di sfruttamento delle vulnerabilità dei sistemi Android, con lo scopo di ottenere i permessi di root sui dispositivi mobile infettati. Triada, sceso al terzo posto ad agosto dalla seconda posizione che aveva a luglio, è un malware modulare per Android che sferra l’attacco tramite una backdoor capace di concedere privilegi amministrativi a malware scaricati e gli permette di essere integrato all’interno di processi di sistema.

 

Triada viene utilizzato anche per compiere attacchi di tipo spoofing. A luglio il terzo posto era occupato da Guerilla un ad-clicker per Android che ha la capacità di comunicare con un server remoto di comando e controllo (C&C), scaricare plug-in aggiuntivi malevoli ed eseguire ad-clicking aggressivi senza l’autorizzazione o la consapevolezza da parte dell’utente.

 

Attacco Man-in-the-Disk

I ricercatori che studiano continuamente le minacce, i loro comportamenti e le tecniche adottate, diramano spesso bollettini di descrizione che possano essere recepiti dai gruppi tecnici dediti alla difesa delle infrastrutture informatiche e dotazioni aziendali per istruire appropriate contromisure di protezione. Tuttavia, anche i singoli e privati utenti o le PMI sono invitate a prestare attenzione poiché, le minacce che hanno come target i device mobili, tentano una diffusione massiva, cercando di colpire il maggior numero possibile di vittime.

Uno degli ultimi metodi di aggressione dei sistemi Android è basato su alcuni difetti nel modo in cui le app utilizzano le aree di archiviazione all’interno dei sistemi Android. Questo uso incauto della memoria esterna da parte delle applicazioni potrebbe aprire una porta d’ingresso ai malintenzionati digitali e permettere il verificarsi di azioni fraudolente: l’installazione sul cellulare di app non richieste e potenzialmente dannose, l’interruzione del servizio di app legittime o l’arresto anomalo di altre applicazioni, facilitando o permettendo possibili iniezioni di codice che verrebbero quindi eseguite all’interno dell’app attaccata.

Ribattezzata attacco Man-in-the-Disk, è realizzato quando le applicazioni utilizzano una memoria esterna che non si avvale della protezione sandbox di Android e non applicano in maniera autonoma delle misure di sicurezza. Molte applicazioni, infatti, non conservano i dati all’interno della sandbox di Android, ma li archiviano in memorie esterne, sia che si tratti di una partizione della memoria del dispositivo sia che si tratti di schede SD esterne.

 

 

La nuova superficie di attacco permette, l’accesso all’interno della memoria esterna. Nascondendosi dietro un’app dall’aspetto innocuo scaricata dall’utente, il criminale informatico monitora i dati tra qualsiasi altra app presente sul cellulare e la memoria esterna sovrascrivendoli con i propri dati in modo tempestivo e provocando così un comportamento sbagliato da parte dell’applicazione e, di conseguenza, danni ai proprietari dei dispositivi. Fino ad oggi le applicazioni che, sono state testate e hanno risposto positivamente alle vulnerabilità sono Google Translate, Yandex Translate, Google Voice Typing, LG Application Manager, LG World, Google Text-to-Speech e Xiaomi Browser. L’azienda di sicurezza che l’ha scoperta, ha emesso un approfondimento specifico nel suo Blog.

Minacce WhatsApp

Non è la prima volta che il popolare sistema di messaggistica presenta delle falle di sicurezza sfruttabili dai criminali informatici. Per la sua caratteristica di essere uno strumento di comunicazione facile e veloce, WhatsApp è già stato al centro di numerosissimi fatti di cronaca. Dai finti premi del supermercato o delle compagnie aeree alle manipolazioni delle elezioni, fino ai casi di social engineering per diffondere fake news allo scopo di influenzare le persone, spesso sono stati rinnovati i modi  per utilizzare in modo illecito questo mezzo di comunicazione.

Seguendo la regola per cui la minaccia evolve e si specializza, è stata scoperta una nuova vulnerabilità che permetterebbe a un criminale informatico di intercettare e manipolare i messaggi inviati all’interno dei gruppi di discussione o delle chat private per dirottare la conversazione a suo vantaggio o creare e diffondere fake news. In particolare, sarebbe possibile: sostituire la vera risposta di un utente con un’altra puramente inventata ma a vantaggio dell’attaccante, citare un messaggio mentre si risponde in un gruppo così da farlo apparire come se provenisse da una persona che non fa nemmeno parte del gruppo (per danneggiare prodotti e servizi concorrenti ad esempio) e infine si può inviare un messaggio a un membro di un gruppo, sotto forma di un messaggio di gruppo, ma che di fatto viene inviato solo a un destinatario magari per carpire informazioni riservate. Il messaggio di risposta arriverà, invece, all’intero gruppo.

I ricercatori hanno anche divulgato un video che mostra la apparente credibilità dei messaggi manipolati.

 

 

 

WhatsApp conta più di 1,5 miliardi di utenti, oltre un miliardo di gruppi e 65 miliardi di messaggi inviati ogni giorno e poiché Facebook che l’ha acquisita prevede di aggiungere funzionalità business per supportare le aziende nella vendita dei loro prodotti e nella gestione del servizio di customer care attraverso l’app, si capisce come una falla di questo tipo, se sfruttata, potrebbe causare danni a di immagine a qualsiasi azienda. Infatti, tramite le tecniche di social engineering, un attore malevolo riesce a importunare l’utente inducendolo a compiere azioni affrettate.

 

La minaccia spyware

Un utilizzo fraudolento dei dispositivi mobili può avvenire anche in contesti militari ma essere poi mutuato in contesti civili. E il caso degli spyware installati dall’organizzazione terrorista di Hamas sugli smartphone dei soldati israeliani per estorcere informazioni dal nemico (fonte Reuters). L’utilizzo duale in ambito civile ha coinvolto applicazioni fake di dating o legate ai Mondiali 2018, scaricabili dal lecito Google Play Store che però effettuavano attività dannose per l’utente:  registrare le chiamate telefoniche, fare uno screenshot quando alla ricezione di una chiamata, furto dei contatti, dei messaggi SMS dell’utente e di tutte le immagini, file e i video memorizzati in memoria e sul dispositivo, comprese le informazioni su dove erano state scattate, identificazione della posizione GPS, registrazioni casuali dei dintorni dell’utente. La liceità conferita dalla presenza delle app sul Google Store non ha insospettito gli utenti, che le hanno scaricate pensandole innocue. Ma anche in questo caso esistevano dei casi precedenti: spyware Viperat (2017) SmeshApp e lo spyware Android per monitorare un’unità di artiglieria da campo di stampo ucraino (2016).

 

Protezioni per mobile

Nei casi di minaccia veicolata tramite whatapp, è opportuno ricordare che spesso le infezioni da malware sono veicolate da messaggi, mail comunicazioni che rientrano nella pratica del phishing e che quindi invitano a cliccare un link malevolo con sotterfugi di vario tipo. Per le fake news il buonsenso dovrebbe aiutare il singolo utente e la regola sempre valida è quella di verificare le fonti, controllare i fatti e verificare che la storia che si legge sui social sia presente anche nel web.  In generale è necessario dotare gli smartphone e i dispositivi mobili di una protezione specifica, un antivirus ad esempio che però venga costantemente aggiornato. Sul fronte delle aziende la protezione è ancora più importante e il tipo di contromisure per la difesa prescelte, dovrebbe permettere di avere una conoscenza delle app presenti sugli smartphone aziendali per proteggere i dati che memorizzano, dato che tropo spesso, gli app store non riescono ad impedire il caricamento di app dannose, mentre gli utenti sono ancora poco pronti a riconoscere una minaccia potenziale.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter