Evoluzione dei malware mobile – 2016

Contenuti

Il 2016 in cifre

Lungo tutto l’arco del 2016 sono stati individuati:

  • 8.526.221 pacchetti di installazione dannosi;
  • 128.886 Trojan bancari per piattaforme mobile;
  • 261.214 Trojan “estorsori” per dispositivi mobile.

Le tendenze dell’anno

  • Sensibile aumento del livello di “popolarità” del malware mobile in grado di acquisire ed utilizzare i diritti di superutente e, in primo luogo, dei software nocivi riconducibili alla classe dei Trojan pubblicitari.
  • Distribuzione di malware attraverso il Google Play Store ed i servizi pubblicitari.
  • Comparsa di specifici metodi per bypassare i nuovi meccanismi di protezione dell’OS Android.
  • Consistente aumento del numero di programmi ransomware destinati ai dispositivi mobile.
  • Attivo sviluppo dei Trojan bancari per piattaforme mobile.

Malware con diritti di superutente

Nel 2016, i programmi Trojan in assoluto più diffusi si sono rivelati essere i Trojan pubblicitari in grado di ottenere i diritti di superutente. Per far questo, essi utilizzano vari set di vulnerabilità, di solito già corrette nelle versioni più recenti di Android. Purtroppo, sui dispositivi della maggior parte degli utenti non vengono effettuati gli indispensabili aggiornamenti del sistema, via via rilasciati; una simile circostanza, ovviamente, rende vulnerabili tali apparecchi.

L’acquisizione dei privilegi di root conferisce al Trojan possibilità quasi illimitate, consentendo a quest’ultimo di installare furtivamente altre app pubblicitarie, oppure di far sì che l’utente visualizzi di continuo, sullo schermo del dispositivo infetto, fastidiosi annunci pubblicitari; una situazione del genere rende spesso impossibile continuare ad utilizzare lo smartphone. Simili programmi Trojan sono in grado non soltanto di mostrare messaggi pubblicitari proposti in maniera particolarmente aggressiva, o di installare software sviluppati da cyber criminali; essi hanno persino la capacità di realizzare l’acquisto di applicazioni su Google Play.

I malware mobile in questione, inoltre, installano i propri moduli nelle directory di sistema; ciò rende particolarmente difficile poter provvedere ad un adeguato trattamento del dispositivo infetto, allo scopo di ristabilirne il corretto funzionamento. Alcuni Trojan pubblicitari, poi, sono addirittura in grado di infettare l’immagine di ripristino; tale azione rende di fatto impossibile risolvere il problema relativo al ritorno alle impostazioni di fabbrica.

Oltre che installare furtivamente applicazioni pubblicitarie, i Trojan in causa possono ugualmente realizzare l’installazione di temibili programmi malware. Sono stati da noi rilevati, ad esempio, numerosi casi di installazione dell’applicazione-downloader modulare Backdoor.AndroidOS.Triada, in grado di modificare il processo Zygote. Di fatto, questo consentiva a tale malware di insediarsi all’interno del sistema in maniera persistente, e di poter modificare, in tal modo, i messaggi SMS inviati da altre applicazioni, con il preciso scopo di compiere il furto delle risorse finanziarie del proprietario del dispositivo infetto. In pratica, i diritti di superutente fornivano al Trojan l’opportunità di poter fare, letteralmente, qualsiasi cosa, incluso la sostituzione degli URL nei browser.

I “rappresentanti” di tale classe di malware sono stati individuati, a più riprese, nel negozio ufficiale di applicazioni Google Play Store, ad esempio sotto forma di “guida” per il celebre videogioco Pokémon GO. Tale app dannosa, scaricata dagli utenti mobile oltre mezzo milione di volte, è stata rilevata come Trojan.AndroidOS.Ztorg.ad.

Evoluzione dei malware mobile - 2016

Trojan.AndroidOS.Ztorg.ad, mascherato sotto forma di “guida” per Pokémon GO

I cyber criminali continuano ad utilizzare l’app store ufficiale di Google

Nel corso dei mesi di ottobre e novembre abbiamo individuato, all’interno di Google Play, circa 50 nuove applicazioni infettate da una nuova variante del famigerato malware Trojan.AndroidOS.Ztorg.ad, ovvero Trojan.AndroidOS.Ztorg.am. A giudicare dalle indicazioni fornite dal counter delle installazioni, molte di tali app sono state installate più di 100.000 volte.

Evoluzione dei malware mobile - 2016

Trojan.AndroidOS.Ztorg.am, camuffato in veste di lettore video

Attraverso Google Play sono stati distribuiti anche programmi Trojan preposti al furto delle credenziali degli utenti. Uno di tali casi è rappresentato, in tutta evidenza, da Trojan-Spy.AndroidOS.Instealy.a, adibito a carpire login e password utilizzati su Instagram. Il secondo — Trojan-PSW.AndroidOS.MyVk.a, è stato ripetutamente pubblicato su Google Play; tale malware si prefiggeva di realizzare il furto dei dati degli utenti di “VKontakte”, il noto social network russo.

In qualità di ulteriore esempio può essere citato il programma ransomware denominato Trojan-Ransom.AndroidOS.Pletor.d, diffuso dai cyber criminali sotto forma di applicazione per la pulizia del sistema operativo. In genere, gli “esponenti” della famiglia Trojan-Ransom.AndroidOS.Pletor codificano i file custoditi sul dispositivo infetto; la variante del Trojan individuata, tuttavia, si limitava a bloccare il dispositivo, per poi richiedere all’utente-vittima il pagamento di una determinata somma di denaro, per poter procedere allo sblocco dell’apparecchio.

Evoluzione dei malware mobile - 2016

Trojan-Ransom.AndroidOS.Pletor.d, mascherato sotto forma di app per la pulizia del sistema

I Trojan che bypassano le protezioni di Android

I cybercriminali sono costantemente alla ricerca di subdoli metodi per eludere i nuovi meccanismi di protezione implementati nell’OS Android. Di fatto, all’inizio del 2016 abbiamo scoperto che alcune varianti del Trojan-SMS Tiny sono in grado di sovrapporre la propria schermata al testo del messaggio che compare nella finestra di dialogo del sistema attraverso la quale si avverte l’utente dell’invio del messaggio SMS verso un numero premium (a pagamento). Il proprietario dello smartphone, non vedendo il testo originale, non sa riguardo a cosa egli fornisce, effettivamente, il proprio assenso, e procede quindi all’invio del messaggio verso il numero specificato dal malfattore.

Un metodo simile è stato utilizzato da Trojan-Banker.AndroidOS.Asacub, allo scopo di ottenere i diritti di amministratore del dispositivo. Nascondendo all’utente la richiesta effettuata dal sistema, il Trojan induce la vittima, con l’inganno, a concedere ulteriori privilegi al malware. Tra le altre cose, Asacub richiede lo specifico diritto di essere l’applicazione standard abitualmente utilizzata per operare con gli SMS; questo consente al Trojan di ottenere l’accesso ai messaggi SMS persino nelle nuove versioni di Android.

Gli autori del Trojan bancario Trojan-Banker.AndroidOS.Gugi, da parte loro, si sono spinti ancora oltre. Questo programma malware è in effetti in grado di bypassare due nuovi meccanismi di protezione IT adottati in Android 6, avvalendosi esclusivamente di metodi di ingegneria sociale. Senza ricorrere allo sfruttamento di eventuali vulnerabilità dell’OS, Gugi riesce ad aggirare importanti funzionalità di protezione quali la specifica richiesta del sistema relativa al poter sovrapporre la propria finestra ad altre app, ed il meccanismo di autorizzazione dinamica riguardo alle attività in-app che potrebbero rivelarsi potenzialmente pericolose, quali SMS o chiamate.

I programmi ransomware per dispositivi mobile

Mentre il primo Trojan ransomware mobile comparso sulla scena provvedeva effettivamente a codificare i dati custoditi dall’utente sul proprio dispositivo, richiedendo poi il pagamento di una determinata somma di denaro per decifrare i contenuti compromessi, i programmi “estorsori” attualmente in circolazione si “limitano” a sovrapporre alle altre finestre (incluso quelle di sistema) la finestra contenente le proprie richieste; in tal modo viene in pratica reso impossibile l’utilizzo del dispositivo.

Trojan-Ransom.AndroidOS.Fusob, il programma ransomware per dispositivi mobile maggiormente diffuso nel corso del 2016, “opera” avvalendosi dello stesso identico principio dannoso. È di particolare interesse rilevare come il Trojan in questione attacchi gli utenti situati in Germania, Stati Uniti e Gran Bretagna, mentre evita di colpire gli utenti mobile ubicati nella vasta area geografica occupata dai Paesi che formano la Comunità degli Stati Indipendenti (CSI), e coloro che risiedono in alcuni stati ad essa limitrofi (una volta avviato, il malware verifica la lingua utilizzata dal sistema, per poi interrompere il proprio “lavoro” se emergono le circostanze sopra indicate). Per procedere all’operazione di sblocco, il Trojan richiede il pagamento di un riscatto pari a 100-200 dollari $, realizzato attraverso i codici relativi alle carte prepagate iTunes.

Desideriamo poi evidenziare un ulteriore metodo utilizzato dai cyber criminali per bloccare i dispositivi mobile; si tratta, più precisamente, del metodo di cui si avvale la famiglia di malware denominata Trojan-Ransom.AndroidOS.Congur, particolarmente diffusa in Cina. Questi Trojan “estorsori” modificano il codice PIN del dispositivo, oppure abilitano tale funzione di sicurezza, impostando il proprio PIN. Per far ciò, il malware deve necessariamente ottenere i diritti di amministratore. Nella circostanza, per poter sbloccare il dispositivo compromesso, viene proposto alla vittima di mettersi in contatto direttamente con i cyber criminali, attraverso il messenger QQ.

Da parte loro, anche i Trojan bancari per piattaforme mobile si sono attivamente sviluppati lungo tutto l’arco dell’anno. Molti di essi sono stati equipaggiati con gli strumenti nocivi necessari per poter bypassare i nuovi meccanismi di protezione implementati nell’OS Android, ed hanno in tal modo potuto continuare a rubare i dati degli utenti anche con le versioni più recenti di tale sistema operativo. Gli sviluppatori dei temibili banker mobile hanno ugualmente introdotto nuove funzioni dannose nelle loro creazioni, in maniera decisamente attiva. La famiglia Marcher, ad esempio, ha per vari mesi utilizzato il redirecting degli utenti, dai siti web delle organizzazioni finanziarie verso siti di phishing appositamente allestiti.

Numerosi Trojan-Banker mobile, inoltre, possiedono specifiche funzioni per estorcere denaro agli utenti-vittima: su comando impartito dal server, essi possono bloccare il funzionamento del dispositivo per mezzo dell’apposita finestra attraverso la quale viene richiesto il pagamento del riscatto. Come abbiamo potuto rilevare, una delle varianti di Trojan-Banker.AndroidOS.Faketoken è in grado non solo di “oscurare” l’interfaccia del sistema, ma anche di codificare i dati degli utenti.

Occorre infine sottolineare, a parte, come i cyber criminali dediti allo sviluppo di malware per Android non si siano affatto dimenticati di uno dei temi più “caldi” dell’intero 2016 — i dispositivi IoT. È stato da noi individuato, in particolare, il Trojan Switcher, in grado di attaccare il router presente nella rete Wi-Fi alla quale è collegato il dispositivo infetto. Nello specifico, se riesce a ricavare la password del router, il Trojan provvede a modificare le impostazioni DNS, realizzando un attacco di tipo DNS hijacking.

Uno sguardo dentro il Dark Web. Contributo del Global Complex for Innovation di INTERPOL.

Il Dark Web rappresenta, per gli attori del cybercrimine, un efficace strumento sia per comunicare, sia per effettuare transazioni di natura commerciale, quali, ad esempio, l’acquisto e la vendita di vari prodotti e servizi, incluso i kit di malware mobile. Vendor e buyer sfruttano in misura sempre maggiore i molteplici meccanismi di “sicurezza” ed i numerosi sistemi business-oriented implementati nell’ambito dei criptomercati della rete Tor (The Onion Router), quali l’utilizzo di criptovalute, i servizi di amministrazione svolti da terze parti (escrow), le transazioni multifirma, la crittografia, il monitoraggio della reputazione/dei feedback, ed altri ancora. INTERPOL ha investigato sulle principali piattaforme del Dark Web, ed ha scoperto che, su di esse, il malware mobile viene messo in vendita in veste di pacchetti software (ad esempio sotto forma di RAT – Remote Access Trojan, trojan per l’accesso remoto); soluzioni singole; tool particolarmente sofisticati, come quelli sviluppati da società di “professionisti” del settore; oppure, su scala più ridotta, come parte di un modello “Bot as a Service”. Il mobile malware è ugualmente “oggetto di interesse” sui negozi allestiti da vari vendor, su forum e social media.

I mercati

Sui mercati presenti nel Dark Web viene messa in vendita tutta una serie di prodotti e servizi relativi al malware mobile. Quest’ultimo viene spesso pubblicizzato come parte di uno specifico pacchetto, che può includere, ad esempio, i famigerati Remote Access Trojan (RAT), pagine di phishing, oppure bundle di software preposti ad operazioni di hacking, i quali consistono, nella fattispecie, in strumenti forensi e tool adibiti a “rompere” le password. Vengono ugualmente posti in vendita appositi strumenti “singoli”, composti da un unico elemento. DroidJack, ad esempio, è stato offerto da vari vendor su quattro dei principali mercati. Questo diffuso RAT per Android viene liberamente commercializzato su Clearnet ad un prezzo decisamente elevato, ma sul Dark Web il suo prezzo è di molto inferiore.

Entrambe le varianti (pacchetto e versione singola) sono talvolta dotate di apposite guide “how-to”, le quali forniscono dettagliate spiegazioni sui metodi utilizzati per hackerare i più diffusi sistemi operativi, quali, ad esempio, Android ed iOS. Sul Dark Web vengono ugualmente pubblicizzati strumenti ancor più sofisticati, quali Galileo, un sistema di controllo remoto sviluppato dalla società IT italiana Hacking Team per ottenere l’accesso remoto a dispositivi provvisti di sistema operativo Android, iOS, BlackBerry, Windows od OS X, e quindi sfruttare gli stessi. Un altro esempio è poi rappresentato dal codice sorgente del Trojan Acecard. Questo malware è noto per il fatto che esso sovrappone le proprie schermate overlay alle app di mobile banking, per poi inoltrare ad un attacker remoto le credenziali di login dell’utente-vittima. Esso è anche in grado di accedere agli SMS; questo consente, ad eventuali malfattori, di poter ottenere i codici relativi al sistema di autenticazione a due fattori, potenzialmente utili.

Risulta ugualmente disponibile per l’acquisto Android bot rent service, servizio di affitto di bot per Android (BaaS, o Bot as a Service). Nella circostanza, il bot può essere utilizzato per raccogliere informazioni finanziarie dai telefoni Android; esso presenta numerose funzionalità, ed è inoltre provvisto di apposita documentazione, disponibile sia in russo che in inglese. Ulteriori specifiche e funzionalità possono essere sviluppate su richiesta. Il servizio in questione può costare fino a 2.500 dollari USD al mese, oppure 650 dollari a settimana.

Vengono infine mostrati, sugli oscuri mercati del Dark Web, anche prodotti per il mobile phishing, adibiti ad ottenere informazioni legate alla sfera finanziaria degli utenti, tool in grado di controllare i telefoni attraverso il Bluetooth, o di cambiare il loro numero IMEI (International Mobile Equipment Identity), così come vari RAT per Android specializzati nell’intercettare messaggi di testo, registri e location delle chiamate, e capaci di accedere alla fotocamera del dispositivo.

Vendor shop, forum e social media

I negozi allestiti dai vendor sono, in sostanza, piattaforme standalone create da un singolo o da un gruppo di vendor che si è costruito una base clienti nell’ambito di uno specifico mercato, ed ha poi deciso di avviare un proprio business. In genere, questi negozi non sono provvisti di forum e pubblicizzano, semplicemente, una specifica tipologia di articolo illecito, come droghe o informazioni personali rubate; ad ogni caso, essi effettuano ugualmente la vendita di malware mobile (DroidJack). Talvolta, assieme ai prodotti appartenenti alla classe del malware mobile vengono resi disponibili appositi tutorial, mentre sui thread dei forum e sui social media si possono ugualmente trovare “opportune” informazioni riguardo agli strumenti maggiormente adatti per raggiungere gli scopi prefissi, e su come installare ed utilizzare i tool in questione. È stato inoltre individuato un particolare servizio nascosto nei meandri della rete Tor – focalizzato sulle news relative al mondo dell’hacking – il quale conteneva specifiche informazioni riguardo alla configurazione del malware mobile Dendroid. Tale RAT, in grado di intercettare i messaggi SMS, effettuare il download di immagini ed aprire un’apposita finestra di dialogo per carpire le password con metodi di phishing, risale al 2014, ma è stato comunque offerto su vari mercati anche nel corso del 2016, come parte di numerosi pacchetti pubblicitari.

Grazie alle solide prerogative di anonimato che esso è in grado di garantire, alle particolari tecniche OPSEC, ai prezzi molto contenuti e all’evidente strategia client-oriented, il Dark Web continua a rimanere, senza ombra di dubbio, uno strumento particolarmente attraente per poter condurre attività e business di natura illecita, ed un ambiente in cui, in futuro, potranno sorgere o svilupparsi specifiche aree dedite al cybercrimine. Lo sviluppo di soluzioni tecniche innovative (in stretta collaborazione con il mondo accademico, gli istituti di ricerca e l’industria privata), la cooperazione internazionale ed il capacity building rappresentano di sicuro dei pilastri fondamentali nella lotta contro l’utilizzo del Dark Web da parte dei criminali.

Le statistiche

Nel 2016 è stato da noi rilevato un sensibile aumento del numero dei pacchetti di installazione nocivi destinati ai dispositivi mobile; in effetti, sono stati complessivamente individuati 8.526.221 pacchetti dannosi, un numero superiore di quasi 3 volte rispetto all’analoga quantità per essi riscontrata nel 2015. Per poter fare i debiti confronti, ricordiamo che nel periodo 2004-2013 erano stati da noi rilevati più di 10 milioni di pacchetti di installazione nocivi, mentre nel 2014 tale cifra era risultata pari a circa 2,5 milioni.

In totale, nel periodo intercorrente tra l’inizio di gennaio e la fine di dicembre del 2016, Kaspersky Lab ha neutralizzato e respinto oltre 40 milioni di attacchi informatici condotti mediante l’utilizzo di malware mobile; nella circostanza, il numero di utenti unici dei dispositivi Android da noi protetti si è rivelato pari a 4.018.234 (contro i 2,6 milioni del 2015).

Evoluzione dei malware mobile - 2016

Numero di attacchi respinti dai prodotti Kaspersky Lab nel corso del 2016

Evoluzione dei malware mobile - 2016

Numero di utenti protetti dai prodotti Kaspersky Lab nel corso del 2016

Geografia delle minacce mobile

Si sono registrati attacchi informatici da parte di programmi malware destinati ai dispositivi mobile in oltre 230 diversi Paesi e territori del globo.

Evoluzione dei malware mobile - 2016

Geografia delle minacce IT per dispositivi mobile (numero di utenti sottoposti ad attacco nel 2016)

TOP 10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware per dispositivi mobile

Paese* %**
1 Bangladesh 50,09%
2 Iran 46,87%
3 Nepal 43,21%
4 Cina 41,85%
5 Indonesia 40,36%
6 Algeria 36,62%
7 Nigeria 35,61%
8 Filippine 34,97%
9 India 34,18%
10 Uzbekistan 31,96%

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui, nel periodo oggetto del presente report, il numero di utenti attivi della soluzione antivirus di Kaspersky Lab per dispositivi mobile è risultato inferiore a 25.000.
** Quote percentuali relative al numero di utenti unici sottoposti ad attacco, rispetto al numero complessivo di utenti – in ogni singolo Paese – dell’antivirus mobile di Kaspersky Lab.

La Cina, che lo scorso anno occupava il primo posto dell’analogo rating da noi stilato, ha continuato a detenere la leadership della graduatoria per tutta la prima metà del 2016; al termine dell’anno qui preso in esame, tuttavia, il Paese dell’Estremo Oriente è andato ad occupare la quarta piazza della TOP 10 relativa all’intero 2016, cedendo in tal modo la prima posizione del ranking al Bangladesh, il quale, lungo tutto l’arco dell’anno ha comunque sempre occupato le posizioni di vertice delle analoghe classifiche elaborate dagli esperti di Kaspersky Lab. Come evidenzia la tabella qui sopra inserita, nel Paese del subcontinente indiano si è imbattuta in temibili programmi malware oltre la metà degli utenti dei prodotti mobile di Kaspersky Lab.

Nel 2016, i malware mobile maggiormente diffusi sul territorio del Bangladesh si sono rivelati essere dei Trojan pubblicitari riconducibili alle famiglie Ztorg e Iop, così come i programmi AdWare appartenenti alla famiglia Sprovider. Questi stessi programmi dannosi, al pari di vari “esponenti” delle famiglie AdWare.AndroidOS.Ewind e AdWare.AndroidOS.Sprovider, si incontrano con particolare frequenza sui dispositivi degli utenti situati in tutti i Paesi che fanno parte della speciale TOP 10, ad eccezione di Cina ed Uzbekistan.

In Cina, i malware mobile in assoluto più diffusi sono risultati essere i Trojan denominati Backdoor.AndroidOS.Fakengry.h e Backdoor.AndroidOS.GinMaster.a, così come i “rappresentanti” della tipologia comportamentale RiskTool.AndroidOS.

In Uzbekistan, invece, i software nocivi per apparecchi mobile più frequentemente rilevati nel corso del 2016 si sono dimostrati essere Trojan-SMS.AndroidOS.Podec.a e Trojan-FakeAV.AndroidOS.Mazig.b. Inoltre, in Uzbekistan, gli utenti si sono spesso imbattuti sia in malware appartenenti alle famiglie di Trojan pubblicitari Ztorg ed Iop, sia negli AdWare riconducibili alla famiglia Sprovider.

Tipologie di malware mobile

Ad iniziare da quest’anno, la suddivisione per tipologie di comportamento dei software destinati ai dispositivi mobile viene realizzata sulla base del numero di pacchetti di installazione effettivamente identificati, anziché in relazione al numero delle nuove varianti di software mobile via via individuate, come veniva invece fatto in precedenza.

Evoluzione dei malware mobile - 2016

Suddivisione delle nuove minacce mobile in base alle varie tipologie esistenti –
2015 e 2016 a confronto

Rispetto all’analoga graduatoria dello scorso anno, risulta cresciuta in maniera particolarmente significativa la quota relativa alle nuove minacce mobile riconducibili alla tipologia RiskTool; tale indice è in effetti passato dal 29%, fatto registrare nel 2015, al 43% per esso rilevato nel 2016. Allo stesso tempo, nell’arco di dodici mesi, è diminuita in modo sensibile – dal 21% al 13% – la quota inerente ai nuovi programmi pubblicitari (AdWare) individuati.

Per il secondo anno consecutivo, continua a diminuire in maniera molto marcata – fra tutti i nuovi file identificati – anche l’indice ascrivibile ai pacchetti di installazione appartenenti alla tipologia Trojan-SMS; la loro quota è in effetti scesa dal 24% all’11%: si tratta della diminuzione percentuale più rilevante, nell’ambito di tale graduatoria. Nonostante questo, non possiamo certo affermare che l’insidiosa minaccia rappresentata dai Trojan-SMS non sia attuale, e davvero ragguardevole; nel corso del 2016 siamo in effetti riusciti ad individuare circa 700.000 nuovi pacchetti di installazione.

L’incremento maggiore, per contro, è stato fatto segnare dalla tipologia Trojan-Ransom: la quota ad essa ascrivibile, fra tutti i pacchetti di installazione rilevati nel 2016, è cresciuta di quasi 6,5 volte, attestandosi su un valore pari al 4%. Un simile aumento è in gran parte dovuto alla rapida ed attiva diffusione dei ransomware mobile appartenenti a due specifiche famiglie: Trojan-Ransom.AndroidOS.Fusob e Trojan-Ransom.AndroidOS.Congur.

TOP 20 relativa ai programmi malware destinati alle piattaforme mobile

Il rating riservato ai programmi dannosi, qui sotto inserito, non include i programmi potenzialmente indesiderati, quali i RiskTool e i software pubblicitari (AdWare).

Verdetto %*
1 DangerousObject.Multi.Generic 67,93
2 Backdoor.AndroidOS.Ztorg.c 6,58
3 Trojan-Banker.AndroidOS.Svpeng.q 5,42
4 Trojan.AndroidOS.Iop.c 5,25
5 Backdoor.AndroidOS.Ztorg.a 4,83
6 Trojan.AndroidOS.Agent.gm 3,44
7 Trojan.AndroidOS.Ztorg.t 3,21
8 Trojan.AndroidOS.Hiddad.v 3,13
9 Trojan.AndroidOS.Ztorg.a 3,11
10 Trojan.AndroidOS.Boogr.gsh 2,51
11 Trojan.AndroidOS.Muetan.b 2,40
12 Trojan-Ransom.AndroidOS.Fusob.pac 2,38
13 Trojan-Ransom.AndroidOS.Fusob.h 2,35
14 Trojan.AndroidOS.Sivu.c 2,26
15 Trojan.AndroidOS.Ztorg.ag 2,23
16 Trojan.AndroidOS.Ztorg.aa 2,16
17 Trojan.AndroidOS.Hiddad.an 2,12
18 Trojan.AndroidOS.Ztorg.i 1,95
19 Trojan-Dropper.AndroidOS.Agent.cv 1,85
20 Trojan-Dropper.AndroidOS.Triada.d 1,78

* Quote percentuali relative al numero di utenti attaccati da tali malware mobile, sul numero complessivo di utenti unici sottoposti ad attacco.

Il primo posto della speciale TOP 20 relativa ai malware mobile più diffusi nel corso del 2016 è andato nuovamente ad appannaggio di una serie di programmi nocivi classificati come DangerousObject.Multi.Generic (67,93%); questo verdetto viene da noi utilizzato per identificare i software dannosi individuati e neutralizzati con l’ausilio delle tecnologie “in-the-cloud”. Tali tecnologie entrano specificamente in funzione nei casi in cui non esistono ancora, all’interno dei database anti-virus, né le apposite firme, né gli euristici indispensabili per poter rilevare determinati programmi nocivi. In tal modo vengono individuati i software dannosi di più recente creazione.

Il secondo gradino del “podio” virtuale risulta occupato dal malware classificato come Backdoor.AndroidOS.Ztorg.c: si tratta di un Trojan pubblicitario in grado di ottenere ed utilizzare i diritti di superutente con il preciso scopo di installare varie applicazioni all’insaputa del proprietario del dispositivo mobile. Occorre sottolineare come, nel 2016, siano entrati a far parte del rating qui analizzato ben sedici Trojan pubblicitari (evidenziati in blu nella tabella); il loro numero si è in pratica quadruplicato rispetto all’analoga graduatoria stilata riguardo all’anno 2015.

Al terzo posto troviamo poi Trojan-Banker.AndroidOS.Svpeng.q, divenuto, nella sfera del malware mobile, il Trojan bancario maggiormente utilizzato dai cyber criminali nel corso del 2016. Il suo alto livello di “popolarità” è dovuto all’attiva diffusione di tale programma nocivo, ad opera dei i cyber criminali, attraverso la nota rete pubblicitaria AdSense. È opportuno evidenziare a parte il fatto che, nella circostanza, grazie ad una specifica vulnerabilità individuata nel browser Chrome, non si rivelava in pratica necessaria alcuna azione, da parte dell’utente, per effettuare il download del Trojan sul dispositivo-vittima. Sottolineiamo, poi, come più della metà degli utenti che, lungo tutto l’arco del 2016, si sono imbattuti in Trojan-Banker appositamente sviluppati per colpire gli apparecchi mobile, abbia avuto a che fare con software nocivi appartenenti alla famiglia Svpeng. Questi programmi Trojan si avvalgono di apposite finestre di phishing per carpire i dati sensibili relativi alle carte di credito, ed attaccano, inoltre, i sistemi di SMS banking.

Al 12° e al 13° posto del ranking si sono collocati, rispettivamente, due “rappresentanti” della famiglia di ransomware mobile denominata Fusob; si tratta, più precisamente, di Trojan-Ransom.AndroidOS.Fusob.pac e Trojan-Ransom.AndroidOS.Fusob.h. Questi temibili Trojan, utilizzando la propria finestra, bloccano il funzionamento del dispositivo dell’utente, richiedendo poi alla vittima il pagamento di un riscatto per poter procedere allo sblocco dell’apparecchio mobile compromesso.

I Trojan bancari per piattaforme mobile

Nel 2016 sono stati da noi individuati 128.886 pacchetti di installazione relativi a Trojan-Banker destinati ai dispositivi mobile, ovvero un numero di pacchetti superiore di 1,6 volte rispetto all’analoga quantità rilevata per gli stessi nell’anno precedente.

Evoluzione dei malware mobile - 2016

Numero di pacchetti di installazione, relativi a Trojan bancari per dispositivi mobile, individuati da Kaspersky Lab nel corso del 2016

Lungo tutto l’arco dell’anno qui esaminato, sono stati complessivamente attaccati – da parte di Trojan-Banker specificamente creati per colpire le piattaforme mobile – ben 305.543 utenti, situati in 164 diversi Paesi. Per poter effettuare un debito paragone, ricordiamo che nel 2015 erano risultati sottoposti ad attacco, in totale, 56.194 utenti mobile, ubicati in 137 Paesi.

Evoluzione dei malware mobile - 2016

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti nel corso del 2016 dai Trojan bancari destinati ai dispositivi mobile (numero di utenti sottoposti ad attacco)

TOP 10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti attaccati da parte di Trojan-Banker per piattaforme mobile, rispetto al numero complessivo di utenti unici

Paese* %**
1 Russia 4,01
2 Australia 2,26
3 Ucraina 1,05
4 Uzbekistan 0,70
5 Tagikistan 0,65
6 Repubblica di Corea 0,59
7 Kazakhstan 0,57
8 Cina 0,54
9 Bielorussia 0,47
10 Moldavia 0,39

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui, nel periodo oggetto del presente report, il numero di utenti attivi della soluzione antivirus di Kaspersky Lab per dispositivi mobile è risultato inferiore a 25.000.
** Quote percentuali relative al numero di utenti unici sottoposti ad attacco da parte di banker mobile, rispetto al numero complessivo di utenti – in ogni singolo Paese – dell’antivirus mobile di Kaspersky Lab.

Per quel che riguarda la Russia – il Paese che detiene la leadership della speciale graduatoria da noi stilata – osserviamo come si sia di fatto imbattuto nei famigerati Trojan-Banker per dispositivi mobile il 4% degli utenti. Tale quota risulta in pratica quasi doppia rispetto all’analogo valore fatto registrare dall’Australia, posizionatasi al secondo posto della nostra TOP 10. L’evidente e marcata differenza trova una logica spiegazione nel fatto che Svpeng, il Trojan bancario per piattaforme mobile maggiormente diffuso, è stato principalmente distribuito sul territorio della Federazione Russa. Inoltre, in Russia, si sono rivelati particolarmente “popolari” vari “esponenti” delle famiglie di malware denominate Asacub e Faketoken.

In Australia, invece, i malware mobile in assoluto più diffusi sono risultati essere alcuni “rappresentanti” delle famiglie Trojan-Banker.AndroidOS.Acecard e Trojan-Banker.AndroidOS.Marcher. In Corea (7° posto), i Trojan bancari più frequentemente utilizzati dai cyber criminali sono stati i software nocivi appartenenti alla famiglia Trojan-Banker.AndroidOS.Wroba.

In tutti gli altri Paesi presenti nella nostra TOP 10, i cyber criminali hanno fatto ricorso, con maggiore frequenza, alle famiglie di malware mobile denominate Trojan-Banker.AndroidOS.Faketoken e Trojan-Banker.AndroidOS.Svpeng. Nel corso del 2016, i programmi dannosi riconducibili a quest’ultima sono stati distribuiti davvero con particolare intensità: oltre la metà degli utenti dei dispositivi mobile è stata attaccata proprio da tali software dannosi. Come abbiamo accennato in precedenza, questo è dovuto all’attiva diffusione del malware attraverso la rete pubblicitaria AdSense e, al contempo, dalla possibilità di eseguire furtivamente, all’insaputa dell’utente, il download dei suddetti Trojan bancari, grazie ad una specifica vulnerabilità individuata nel browser mobile.

La seconda famiglia di malware mobile maggiormente diffusa si è rivelata essere Trojan-Banker.AndroidOS.Faketoken. Alcune varianti di tale Trojan sono in grado di attaccare oltre 2.000 applicazioni legate alla sfera finanziaria.

Terza in termini di “popolarità” è poi risultata essere la famiglia di Trojan bancari mobile denominata Trojan-Banker.AndroidOS.Asacub. Ha avuto a che fare con questa famiglia di malware oltre il 16% degli utenti sottoposti ad attacco da parte di banker mobile. I Trojan in questione vengono distribuiti soprattutto in Russia, spesso attraverso messaggi SMS di spam.

I Trojan ransomware per dispositivi mobile

Nel 2016, i ransomware mobile hanno evidenziato una crescita davvero impressionante — sia in termini di quantità di pacchetti di installazione individuati, sia per quel che riguarda il numero di utenti da essi attaccati. Nel periodo oggetto della nostra consueta analisi annuale relativa all’evoluzione del malware mobile, sono stati da noi rilevati ben 261.214 pacchetti di installazione nocivi riconducibili ai famigerati Trojan “estorsori”, ovvero un numero di pacchetti nocivi superiore di quasi 8,5 volte rispetto a quanto riscontrato nel 2015.

Evoluzione dei malware mobile - 2016

Numero di pacchetti di installazione, relativi a programmi ransomware mobile, individuati da Kaspersky Lab (Situazione inerente al periodo 1° trimestre 2016 – 4° trimestre 2016)

Per ciò che riguarda il numero di utenti che si sono imbattuti in questa tipologia di malware, rileviamo che tale quantità ammonta a ben 153.258 persone, situate in 167 diversi Paesi: si tratta di un valore superiore di 1,6 volte rispetto all’analoga quantità osservata nel 2015.

È di particolare interesse sottolineare come, nei primi due trimestri del 2016, un elevato numero di pacchetti di installazione abbia riguardato la famiglia Trojan-Ransom.AndroidOS.Fusob, mentre nel terzo trimestre dell’anno il livello di attività di tale Trojan ha poi manifestato un’evidente flessione. La significativa crescita verificatasi nel quarto trimestre è invece da imputare, in particolar modo, all’aumentato livello di attività della famiglia Trojan-Ransom.AndroidOS.Congur; fanno parte di essa dei programmi Trojan tutt’altro che sofisticati, i quali bloccano il dispositivo-vittima per mezzo della loro finestra, oppure modificano la password necessaria per accedere a quest’ultimo.

Evoluzione dei malware mobile - 2016

Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti nel corso del 2016 dai Trojan ransomware per dispositivi mobile (numero di utenti sottoposti ad attacco)

TOP 10 relativa ai Paesi in cui si è registrata la quota percentuale più elevata di utenti attaccati da parte di Trojan-Ransom mobile, rispetto al numero complessivo di utenti unici

Paese* %**
1 Germania 2,54
2 USA 2,42
3 Canada 2,34
4 Svizzera 1,88
5 Kazakhstan 1,81
6 Gran Bretagna 1,75
7 Italia 1,63
8 Danimarca 1,29
9 Messico 1,18
10 Australia 1,13

* Nell’effettuare i calcoli statistici non abbiamo tenuto conto di quei Paesi in cui, nel periodo oggetto del presente report, il numero di utenti attivi della soluzione antivirus di Kaspersky Lab per dispositivi mobile è risultato inferiore a 25.000.
** Quote percentuali relative al numero di utenti unici sottoposti ad attacco da parte di programmi ransomware per dispositivi mobile, rispetto al numero complessivo di utenti – in ogni singolo Paese – dell’antivirus mobile di Kaspersky Lab.

Il maggior numero di utenti mobile attaccati dai programmi ransomware è stato da noi rilevato in Germania — oltre il 2,5%. In quasi tutti i Paesi presenti nella speciale classifica qui sopra inserita, il livello più elevato di “popolarità” è stato acquisito dai software nocivi appartenenti alle famiglie Trojan-Ransom.AndroidOS.Fusob e Trojan-Ransom.AndroidOS.Svpeng. Soltanto in Kazakhstan — il Paese collocatosi al 5° posto della TOP 10 — i ransomware nei quali si sono imbattuti con maggior frequenza gli utenti si sono rivelate essere alcune varianti della famiglia denominata Trojan-Ransom.AndroidOS.Small.

Ulteriori informazioni riguardo alle tre famiglie di Trojan-Ransom mobile qui sopra menzionate sono disponibili all’interno del report relativo ad una specifica indagine da noi condotta.

Conclusioni

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza. I cyber criminali, da parte loro, sfruttano ampiamente il fatto che sulla maggior parte dei dispositivi non vengono effettuati i necessari aggiornamenti del sistema operativo (oppure gli utenti si preoccupano di ottenere tali update con notevole ritardo). Questo fa sì che la maggior parte dei dispositivi si riveli vulnerabile anche nei confronti di exploit ormai datati, ben noti e facilmente accessibili.

Nell’anno in corso continueremo a monitorare molto attentamente l’evoluzione dei Trojan bancari appositamente creati per colpire gli apparecchi mobile: di fatto, coloro che sviluppano i software nocivi riconducibili a tale classe di malware utilizzano per primi le nuove tecnologie dannose, e cercano, in maniera insistente e meticolosa, di mettere a punto dei subdoli metodi che consentano di bypassare i meccanismi di protezione implementati nelle nuove versioni dei sistemi operativi mobile.

Nel 2016, uno dei temi più discussi, e più delicati, si è indubbiamente rivelato essere la sicurezza dei dispositivi IoT. Stanno in effetti acquisendo un livello di popolarità e diffusione sempre maggiore i cosiddetti dispositivi “intelligenti”, di ogni genere, in grado di connettersi agevolmente ad Internet; il loro grado di sicurezza IT, tuttavia, si situa ancora su livelli piuttosto bassi. Nel 2016, ad esempio, è stato da noi individuato un Trojan preposto ad attaccare i router domestici. Stiamo di fatto osservando come i cyber criminali si stiano avvicinando sempre di più alla “cornetta” del telefono, ed inizino ad interagire con il mondo circostante. È quindi probabile che, proprio nel 2017, si possa assistere a veri e propri attacchi su larga scala — condotti mediante l’utilizzo di dispositivi mobile — nei confronti dei “rappresentanti” della categoria dell’Internet delle Cose.

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *