Virologia della telefonia mobile, Parte 6

Contenuti

Introduzione

E’ ormai trascorso quasi un anno dalla pubblicazione della Parte 5 del nostro consueto report sull’evoluzione delle minacce informatiche specificamente “dedicate” ai dispositivi mobile. E’ giunto pertanto il momento di tracciare un opportuno bilancio riguardo agli eventi che hanno maggiormente segnato il panorama del malware mobile mondiale nel corso del 2012. Andremo quindi innanzitutto a verificare se si siano avverate o meno le previsioni da noi fatte un anno fa in merito alla possibile evoluzione delle minacce IT appositamente create dai virus writer per colpire smartphone, tablet ed altri apparati mobile. Forniremo poi, attraverso il presente articolo, dettagliati dati statistici riguardanti gli ultimi sviluppi del malware mobile, sia dal punto di vista quantitativo che qualitativo. Analizzeremo inoltre le principali tendenze che, lungo tutto l’arco del 2012, hanno contrassegnato l’evoluzione dei programmi malware per OS mobili, soffermandoci ad esaminare in dettaglio i principali attacchi informatici realizzati attraverso di essi. Rilasceremo, infine, le nostre previsioni riguardo ai probabili scenari che potranno delinearsi, nel corso del 2013, relativamente all’evoluzione del malware mobile e degli attacchi informatici espressamente destinati ai dispositivi mobile.

Ma quali erano state le nostre specifiche previsioni per il 2012 in materia di virologia mobile? Riassumendo brevemente, avevamo collocato in prima posizione un’ulteriore crescita del numero di malware mobili preposti a colpire il sistema operativo Android, in quanto presupponevamo che gli “sforzi” dei cybercriminali si sarebbero soprattutto concentrati sulla creazione di programmi nocivi per la piattaforma mobile sviluppata da Google. Tale previsione ha trovato pieno riscontro nella realtà dei fatti. Nel corso del 2012, i malintenzionati si sono difatti orientati quasi esclusivamente verso lo sviluppo e la diffusione di programmi malware espressamente destinati all’OS Android.

Un anno fa, avevamo inoltre ipotizzato che, per attaccare i dispositivi mobili, i cybercriminali non si sarebbero soltanto limitati ad utilizzare i root exploit appositamente creati per la piattaforma Android (tali exploit consentono, di fatto, di acquisire i diritti di root sullo smartphone ed ottenere quindi il pieno accesso al sistema operativo, grazie a privilegi di superutente); ci attendevamo, in effetti, l’esecuzione dei primi attacchi di tipo drive-by, in cui gli exploit sarebbero stati impiegati per infettare direttamente l’OS Android, sfruttando eventuali vulnerabilità individuate in tale sistema operativo. La nostra previsione non si è però tramutata in realtà, verosimilmente per il fatto che – in questa precisa fase dello sviluppo dei malware mobile specificamente “dedicati” alla piattaforma Android – i cybercriminali non hanno strettamente bisogno di condurre attacchi del genere; in effetti, così come in passato, sono purtroppo gli stessi utenti a generare in maniera del tutto “autonoma” il propagarsi di pericolose infezioni informatiche sui propri dispositivi mobile.

Allo stesso modo, non si è avverata la previsione da noi fatta in merito alla probabile comparsa, nel 2012, dei primi worm di massa per Android, e più precisamente, di worm-SMS.

Avevamo ugualmente previsto un ulteriore aumento del numero degli incidenti virali dovuti ai programmi malware diffusi attraverso i negozi ufficiali online di applicazioni per piattaforme mobile. Tale previsione si è purtroppo realizzata. Oltre alla regolare comparsa di vari software dannosi all’interno di Google Play (l’ex Android Market) – nella circostanza, il numero degli utenti-vittima è generalmente oscillato da alcune decine a varie decine di migliaia – si è registrato anche il primo caso di malware mobile per iOS – il sistema operativo sviluppato per i dispositivi mobile prodotti da Apple – rilevato all’interno dell’App Store.

Si è pienamente avverata anche la nostra previsione relativamente alla comparsa, sulla scena del malware, delle prime botnet mobile formate da dispositivi dotati di sistema operativo Android. Sottolineiamo come tali reti-zombie abbiano evidenziato tratti distintivi piuttosto netti, riguardo alla distribuzione geografica delle infezioni, al numero dei dispositivi mobile contagiati dal malware e alle specifiche funzionalità di cui ogni botnet mobile è risultata essere provvista.

Tutte le previsioni sopra enunciate riguardavano esclusivamente Android, la piattaforma attualmente più diffusa presso gli utenti mobile. Relativamente alle altre piattaforme e agli altri sistemi operativi mobile presenti sul mercato, avevamo invece ipotizzato che la tendenza generale sarebbe diventata quella di un utilizzo specifico del malware mobile sviluppato per colpire gli OS Symbian, Blackberry – e via dicendo – per la conduzione di attacchi di tipo mirato. Un chiaro esempio di tale genere di assalti informatici è rappresentato dagli attacchi eseguiti tramite il dispiegamento dei malware denominati ZitMo e SpitMo (ZeuS- e SpyEye-in-the-Mobile). Anche tale previsione ha poi trovato pieno riscontro nella realtà dei fatti. Evidenziamo come, alla “famiglia” dei malware preposti al furto dei codici segreti mTAN, utilizzati per l’effettuazione delle transazioni bancarie (ZitMo e SpitMo), si sia aggiunto un ulteriore elemento; gli autori di malware hanno difatti sviluppato la versione mobile di Carberp, altro trojan bancario particolarmente diffuso: tale versione, secondo una “tradizione” ormai consolidata, ha assunto una denominazione simile a quello di ZitMo e SpitMo, ovvero CitMo, contrazione di Carberp-in-the-Mobile.

Nel concludere la parte introduttiva del presente report sul fenomeno del mobile malware, rileviamo infine come si siano pienamente realizzate due ulteriori previsioni a carattere generale da noi fatte all’incirca un anno fa: esse inquadrano due aspetti di fondamentale importanza per ciò che riguarda l’ulteriore evoluzione, nell’imminente futuro, degli attacchi informatici specificamente rivolti alle piattaforme mobili. Evidenziamo, in primo luogo, come si sia di fatto già costituita, a livello mondiale, una vera e propria “industria” del malware mobile. Sottolineiamo poi, in secondo luogo, come le pratiche di spionaggio condotte attraverso i dispositivi mobile abbiano ormai superato gli iniziali confini per esse previsti, ovvero un utilizzo esclusivamente riservato alle forze dell’ordine e a certe società private operanti nel settore delle attività investigative.

Il presente articolo – costituito dalla Parte 6 del nostro consueto report sulla Virologia Mobile – è dedicato all’esame dei principali eventi che hanno caratterizzato, nel corso del 2012, l’evoluzione dello specifico segmento del malware appositamente sviluppato dai virus writer per attaccare i dispositivi mobile.

Le statistiche

Come da tradizione, avviamo il nostro resoconto riportando i dati statistici raccolti ed elaborati dai nostri esperti: tali dati ci permettono di inquadrare perfettamente la reale entità del repentino sviluppo che, nel corso del 2012, ha avuto il malware mobile nel vasto e torbido panorama del cybercrimine mondiale. Questa volta, il quadro generale relativo all’imperiosa crescita del numero di programmi malware per piattaforme mobili e alle dinamiche che hanno caratterizzato la comparsa sulla scena di tali software nocivi – quadro riguardante altresì la ripartizione del malware mobile in relazione alle varie piattaforme sottoposte ad attacco e agli specifici comportamenti nocivi per esso rilevati – è stato arricchito dei preziosi dati ottenuti attraverso il Kaspersky Security Network (KSN), la rete di sicurezza globale da noi implementata; il nostro sofisticato servizio basato sul cloud, difatti, è ora disponibile anche per gli utenti della soluzione di sicurezza Kaspersky Lab per dispositivi mobili dotati di sistema operativo Android.

I principali dati statistici relativi al 2012

I dati statistici più significativi relativamente all’evoluzione del malware mobile lungo tutto l’arco del 2012 riguardano la crescita esplosiva del numero di software nocivi specificamente creati dai virus writer per infettare l’OS Android. Giudicate un po’ voi: nel 2011, considerando tutte le piattaforme mobile esistenti, erano state da noi complessivamente individuate quasi 5.300 nuove varianti di malware mobile; ora, in certi mesi del 2012, il numero di programmi malware espressamente destinati ad Android, da noi identificati, ha addirittura superato l’entità della cifra sopra menzionata, relativa all’intero anno 2011. Se consideriamo poi la quantità complessiva di file dannosi unici rilevati dalle nostre soluzioni di sicurezza, otteniamo una cifra davvero impressionante: oltre 6 milioni di programmi malware!

La tabella qui di seguito riportata riproduce l’esatta situazione – al 1° gennaio 2013 – riguardo al numero complessivo di famiglie e varianti di malware mobile presenti nella “collezione” di Kaspersky Lab:

Piattaforma Numero di varianti Numero di famiglie
Android 43.600 255
J2ME 2257 64
Symbian 445 113
Windows Mobile 85 27
Altre 28 10
Totale 46.415 469

I ritmi di crescita del numero di programmi malware espressamente “dedicati” ai dispositivi mobili divengono sempre più incalzanti: basti pensare che ben 40.059 delle 46.415 varianti di malware mobile complessivamente individuate – nonché 138 famiglie su 469 – sono entrate a far parte della nostra “collezione” proprio nel corso del 2012!

Per ciò che riguarda la distribuzione delle varianti di malware mobile in relazione alle varie piattaforme presenti sul mercato, il grafico qui sotto riportato evidenzia in maniera ancor più netta ed inequivocabile la situazione sopra descritta:

Virologia della telefonia mobile, Parte 6

Ripartizione delle varianti di malware mobile in relazione alle varie piattaforme esistenti –
Periodo: 2004-2012

Mentre alla fine del 2011 risultava riconducibile all’OS Android circa il 65% del numero complessivo di malware mobile sino ad allora individuati, esattamente un anno dopo – alla fine del 2012 – la quota relativa ai programmi nocivi appositamente creati per attaccare il sistema operativo mobile sviluppato da Google – da noi individuati e classificati – ha raggiunto un valore pari al 94% del totale del malware mobile complessivamente rilevato.

Suscita tuttavia ancora maggior impressione il fatto che addirittura il 99% del numero totale di programmi malware individuati nel corso del 2012 sia risultato essere specificamente destinato ai dispositivi mobile equipaggiati con sistema operativo Android. A dir la verità, già a metà dello scorso anno appariva ben chiaro come – almeno per i due anni seguenti – la scena del malware mobile sarebbe stata nettamente dominata dalle minacce IT appositamente elaborate per colpire l’OS Android. Il fatto che la piattaforma mobile di Google si sia rapidamente guadagnata il ruolo di sistema operativo più diffuso nel segmento dei dispositivi mobile, ha reso in pratica tale piattaforma il bersaglio prediletto dai virus writer. Evidentemente, la relazione “sistema operativo più diffuso” + “possibilità di installare il software da qualsiasi fonte” => “maggior quantità di malware” risulta ancora perfettamente valida.

I malware più diffusi per l’OS Android

Nella primavera del 2012 abbiamo reso disponibile il servizio cloud KSN anche per gli utenti del prodotto di sicurezza IT specificamente sviluppato da Kaspersky Lab per i dispositivi mobili dotati di sistema operativo Android. Ciò ha permesso non solo di innalzare ulteriormente il livello di protezione IT per tutti gli apparati mobile in questione, ma anche di ricevere ed elaborare dati statistici di notevole rilevanza, in particolar modo riguardo alle varianti di malware mobile sulle quali i nostri utenti si sono più frequentemente imbattuti.

Gli oggetti nocivi maggiormente diffusi sui dispositivi Android, rilevati nel corso del 2012 dalle nostre soluzioni anti-malware, possono essere suddivisi in 3 gruppi principali: i Trojan-SMS, i programmi “pubblicitari” AdWare e gli exploit preposti ad ottenere i diritti di root sullo smartphone infettato.

Virologia della telefonia mobile, Parte 6

TOP-10 relativa agli oggetti nocivi rilevati con maggiore frequenza
sui dispositivi mobile dotati di OS Android

Tra i software dannosi destinati alla piattaforma mobile Android, i più diffusi in assoluto sono risultati essere i Trojan-SMS, rivolti principalmente agli utenti mobili ubicati sul territorio della Federazione Russa. Tale circostanza non costituisce tuttavia un elemento di particolare novità, visto che, purtroppo, è ormai da molto tempo che simili programmi nocivi godono di vasta popolarità presso le folte schiere degli autori di malware mobile russi. L’invio di costosi messaggi SMS verso numeri a pagamento da parte degli ignari utenti-vittima rappresenta tuttora il metodo di guadagno più redditizio e più praticato dai cybercriminali operanti nel segmento “mobile”.

All’interno della speciale TOP-10 da noi stilata, il secondo gruppo, relativo alle minacce informatiche più diffuse nel 2012 sui dispositivi provvisti di sistema operativo Android, risulta composto dai moduli AdWare denominati Plangton e Hamob. Non è affatto un caso che la prima delle due famiglie sopra menzionate sia stata classificata nel novero dei Trojan dagli esperti di sicurezza IT. Plangton si incontra piuttosto di frequente in varie applicazioni gratuite per smartphone Android: attraverso tale programma l’utente visualizza a tutti gli effetti messaggi pubblicitari sullo schermo del proprio dispositivo mobile; il fatto è che il software in questione risulta ugualmente provvisto di una specifica funzionalità nociva, volta a modificare la pagina iniziale del browser. La pagina web iniziale del programma di navigazione in uso presso l’utente viene pertanto furtivamente cambiata senza che quest’ultimo possa essere opportunamente avvisato e possa quindi esprimere o meno il proprio consenso; è per tale motivo che il comportamento del programma AdWare Plangton viene ritenuto dannoso nei confronti del proprietario del dispositivo mobile. Quanto ad Hamob, evidenziamo come vengano rilevate con la specifica denominazione di <AdWare.AndroidOS.Hamob> certe applicazioni che si spacciano per software utili, ma che, in realtà, altro non sono se non i classici moduli AdWare adibiti a mostrare messaggi pubblicitari di ogni genere agli utenti che utilizzano gli smartphone.

Il terzo gruppo di oggetti nocivi espressamente “dedicati” alla piattaforma Android comprende infine diverse varianti del malware Lotoor: si tratta di pericolosi exploit preposti ad ottenere i diritti di root sugli smartphone provvisti delle varie versioni dell’OS mobile sviluppato da Google.

L’elevato grado di popolarità di cui godono simili exploit negli ambienti della cybercriminalità trova una logica spiegazione nel fatto che le più disparate varianti di programmi backdoor riconducibili a numerose famiglie di malware mobile – il cui numero è sensibilmente aumentato nel corso di quest’ultimo anno – utilizzano le stesse identiche varianti di exploit per ottenere l’innalzamento dei privilegi (diritti di root sul dispositivo mobile).

Le principali minacce IT per gli utenti mobili

Lungo tutto l’arco del 2012 abbiamo assistito ad un sensibile aumento del numero di incidenti virali dovuti a software nocivi appositamente sviluppati dagli autori di malware mobile per infettare l’OS Android. Occorre in ogni caso precisare che, nel frattempo, i malintenzionati non si sono affatto dimenticati dei programmi nocivi destinati alle altre piattaforme mobile Descriveremo, qui di seguito, gli incidenti di sicurezza più eclatanti che si sono prodotti durante lo scorso anno.

Le botnet mobili

Possiamo senza ombra di dubbio affermare che la prima botnet mobile sia “formalmente” comparsa nel panorama del malware durante l’autunno del 2009. In quel preciso periodo veniva di fatto individuato il secondo programma nocivo specificamente “dedicato” ai dispositivi mobile provvisti di sistema operativo iOS e sottoposti a procedure di jailbreaking; tale software nocivo era perfettamente in grado di ricevere ed eseguire i comandi impartiti da un server remoto. In questo caso, tuttavia, si è trattato più che altro di una sorta di semplice dimostrazione, o prova effettiva, riguardo al fatto che in un futuro non troppo lontano sarebbero potute comparire, sulla scena del cybercrimine, anche botnet pienamente operative, formate da dispositivi mobile.

L’evento previsto si è purtroppo regolarmente verificato: nel 2012 sono state in effetti scoperte alcune botnet mobile composte da apparecchi “zombie” provvisti di sistema operativo Android. Il primo vero campanello d’allarme era suonato proprio all’inizio dello scorso anno, nel mese di gennaio 2012, quando è stato individuato il bot IRC per Android denominato Foncy, un malware dotato di funzionalità particolarmente nocive ed aggressive, il quale agiva in combinazione con un Trojan-SMS, battezzato dagli esperti con lo stesso nome (Trojan-SMS.AndroidOS.Foncy).

Virologia della telefonia mobile, Parte 6

L’icona di Foncy – “MADDEN NFL 12” – dopo l’installazione del malware

Una volta realizzata l’infezione, il bot IRC assumeva il pieno controllo dello smartphone sottoposto a contagio informatico. Oltre al Trojan-SMS e al bot IRC, il dropper in formato APK (Android application package file), classificato come Trojan-Dropper.AndroidOS.Foncy, conteneva anche un root exploit, il quale, una volta eseguito, consentiva di ottenere l’innalzamento dei privilegi (diritti di root) sul sistema infettato. Successivamente veniva lanciato il bot IRC, che, a sua volta, provvedeva ad installare ed avviare il suddetto Trojan-SMS. Quest’ultimo, dopo aver recato il proprio payload nocivo, cessava la sua azione, mentre il bot IRC rimaneva invece in esecuzione, in attesa dei comandi provenienti dal server nocivo. In effetti, connettendosi con il server di controllo allestito dai malintenzionati, il bot in questione era perfettamente in grado di ricevere ed eseguire sul dispositivo mobile infetto qualsiasi comando shell inviato dal suddetto server, assumendo di fatto il pieno controllo del dispositivo infettato. In pratica, tutti gli smartphone contagiati dal bot IRC Foncy entravano a far parte di un’estesa botnet, ed erano pronti a svolgere qualsiasi attività dietro apposito comando impartito dal “padrone” della botnet stessa.

In Francia, le forze dell’ordine hanno in seguito individuato ed arrestato due persone, sospettate di essere responsabili della creazione e della diffusione del suddetto malware mobile. Secondo quanto reso noto dalla cyberpolizia francese, i virus writer in questione erano riusciti ad infettare, complessivamente, oltre 2.000 dispositivi, ricavando dall’operazione circa 100.000 euro di guadagni illeciti. Si è trattato del primo caso in assoluto, nella storia del cybercrimine, in cui si è proceduto all’arresto di persone sospettate di aver sviluppato e distribuito un software nocivo espressamente destinato ad infettare i dispositivi mobile degli utenti.

Nel mese di febbraio 2012 veniva poi scoperta l’esistenza di una botnet mobile di vaste proporzioni, composta da una quantità di apparecchi “zombie” attivi oscillante tra le 10.000 e le 30.000 unità; occorre tuttavia sottolineare come il numero complessivo degli smartphone coinvolti ammontasse ad alcune centinaia di migliaia di dispositivi infettati. La botnet in questione era stata creata ed organizzata da virus writer cinesi, da tempo specializzati nello sviluppo di un elevato numero di programmi backdoor. L’estesa rete-zombie mobile era difatti basata su un backdoor, denominato RootSmart, provvisto di varie funzionalità per assumere da remoto il pieno controllo dei dispositivi mobili dotati di sistema operativo Android. Per diffondere in Rete il backdoor RootSmart i cybercriminali si erano avvalsi di un metodo noto ormai da tempo, ma di provata efficacia: essi avevano effettuato la ricompressione di un software del tutto legittimo, per poi collocare quest’ultimo all’interno di un sito web appartenente alla categoria degli app store non ufficiali per la piattaforma Android, particolarmente diffusi in Cina. In tal modo, tutti gli utenti che avessero effettuato il download di tale programma, destinato in apparenza ad applicare esclusivamente particolari impostazioni al telefono, avrebbero ricevuto assieme ad esso un pericoloso backdoor, appositamente elaborato dagli autori di malware mobile per asservire ad una vasta rete-zombie i dispositivi contagiati.

Le ampie proporzioni assunte dall’infezione informatica generata da RootSmart hanno consentito ai cybercriminali di “monetizzare” in maniera alquanto efficace le attività illegali condotte attraverso la botnet mobile creata. Essi hanno difatti optato per il metodo di guadagno più praticato in assoluto dai malintenzionati che si “dilettano” a violare i dispositivi mobile degli utenti: l’invio di SMS a pagamento verso numeri brevi. Nella circostanza, i cybercriminali hanno utilizzato i numeri telefonici meno costosi, in maniera tale che le vittime del raggiro si accorgessero il più tardi possibile della frode praticata nei loro confronti. Il pieno controllo assunto dai malintenzionati sui dispositivi mobile contagiati ha consentito ad essi di poter nascondere a lungo la presenza di software nocivo all’interno degli smartphone compromessi e, quindi di poter allungare considerevolmente i tempi in cui sono stati indebitamente sottratti cospicui fondi dagli account telefonici degli utenti-vittima.

Nel corso del 2012 gli esperti di Kaspersky Lab si sono ugualmente imbattuti in certi programmi backdoor che, fortunatamente, non sono riusciti ad infettare un elevato numero di dispositivi mobile; tali malware, tuttavia, si sono rivelati particolarmente interessanti per alcune specifiche caratteristiche e peculiarità di cui erano provvisti.

Ad esempio, il software nocivo denominato Cawitt, appositamente creato per attaccare la piattaforma mobile Android, si è rivelato piuttosto curioso e singolare, soprattutto per il meccanismo grazie al quale il bot riceveva i nomi di dominio relativi ai centri di comando e controllo. E’ risultato difatti che, per eseguire tale specifica attività, Cawitt si avvaleva di Twitter. Nel corpo del programma malware erano difatti custodite alcune stringhe di codice, tramite le quali Cawitt era in grado di creare, carattere dopo carattere, determinati nickname fittizi di utenti del social network sopra menzionato. Una volta generati i nomi degli utenti “immaginari”, il backdoor inviava una specifica richiesta al server di Twitter, per ricevere i loro tweet. Tali tweet contenevano, di fatto, i nomi di dominio dei centri di comando.

Virologia della telefonia mobile, Parte 6

Esempi di tweet contenenti il nome di dominio del C&C

Per iniziare poi a ricevere i comandi impartiti dal C&C, Cawitt inviava una richiesta POST al dominio il cui nome era stato precedentemente ottenuto attraverso Twitter, collocando di fatto il nome di dominio in questione all’interno della stringa “/carbontetraiodide”. In risposta alla query effettuata, il bot riceveva dal C&C un determinato comando.

Si è ugualmente rivelato di particolare interesse lo spam bot per Android denominato SpamSold, individuato verso la fine del 2012. In effetti, per la prima volta in assoluto è stato scoperto un programma malware per dispositivi mobile la cui funzionalità principale era rappresentata dall’invio di messaggi SMS di spam tramite gli apparecchi infettati.

Il backdoor cerca innanzitutto di nascondere la sua presenza all’interno dello smartphone, eliminando espressamente la propria icona e caricando la versione gratuita di un determinato gioco, utilizzata allo scopo di camuffarsi. Successivamente, SpamSold invia al server di comando una richiesta GET di tal genere:

Virologia della telefonia mobile, Parte 6

La richiesta GET trasmessa da SpamSold

In risposta, il malware in questione riceve il testo del messaggio SMS che dovrà essere inviato, così come i primi 100 numeri ai quali verrà poi effettivamente spedito il suddetto SMS.

Virologia della telefonia mobile, Parte 6

La risposta inviata dal server

Una volta ricevuta la risposta del server di comando e controllo, il bot cerca di procedere all’invio in sequenza dei messaggi SMS – contenenti il testo trasmesso dal server – verso i suddetti numeri telefonici; in seguito, quando tali numeri si esauriscono, SpamSold si rivolge nuovamente al server nocivo, per ricevere un nuovo lotto di numeri ed il relativo testo da inoltrare attraverso ulteriori SMS. Sottolineiamo come il malware mobile in causa provveda a nascondere adeguatamente i messaggi SMS inviati, mascherando in tal modo l’attività dannosa eseguita.

Fortunatamente, nella circostanza, i malintenzionati non sono riusciti a creare una botnet di vaste dimensioni. Tuttavia, il fatto stesso che si sia iniziato ad utilizzare il malware mobile per l’invio di messaggi SMS di spam, induce a pensare che nel corso del 2013, purtroppo, avremo a che fare più di una volta con software nocivi provvisti di tale specifica funzionalità.

A caccia di codici mTAN

Nel corso del 2012 i cybercriminali si sono avvalsi di alcuni nuovi programmi malware per la conduzione di attacchi informatici mirati. Un chiaro esempio di simili attacchi è rappresentato dagli assalti informatici portati dai malintenzionati tramite ZitMo e SpitMo (Zeus- e SpyEye-in-the-Mobile). Tali malware sono stati appositamente creati dai virus writer allo scopo di intercettare i messaggi SMS – inviati agli utenti del banking online – contenenti i codici segreti mTAN, utilizzati per autorizzare le transazioni bancarie.

Sulla scena del malware sono “regolarmente” comparse nuove versioni di ZitMo e SpitMo, rivolte tanto alla piattaforma Android quanto ad altri OS mobile. E’ singolare osservare come, per mascherare i malware, i virus writer utilizzino attualmente gli stessi identici metodi praticati due anni fa. I software nocivi vengono in effetti principalmente camuffati sotto forma di “certificati di sicurezza”, oppure addirittura in veste di appositi programmi per la “protezione” IT degli smartphone. Gli ignari utenti scaricano quindi sui propri dispositivi mobile pericolosi software nocivi, mascherati sotto forma di programmi in apparenza del tutto innocui e sicuri.

Virologia della telefonia mobile, Parte 6

Il malware ZitMo mascherato sotto forma di applicazione per la protezione IT

L’ampia popolarità di cui gode la piattaforma Android presso il pubblico degli utenti mobile non significa, tuttavia, che nessuno utilizzi più sistemi operativi diversi dall’OS sviluppato da Google. Gli autori di virus, ad esempio, sembrano non essersi minimamente preoccupati delle voci relative alla possibile imminente scomparsa della piattaforma Blackberry. Fatto sta che, nel 2012, hanno fatto la loro apparizione sulla scena anche nuove versioni del malware ZitMo dedicate a tale piattaforma; ne è conseguito che, nel corso di un’intensa ondata di attacchi informatici i malintenzionati hanno contemporaneamente utilizzato sia i software nocivi rivolti a Blackberry, sia quelli appositamente sviluppati per colpire l’OS Android. Durante tali assalti, i numeri dei C&C (centri di comando e controllo) utilizzati dai cybercriminali sono risultati essere gli stessi.

Rileviamo, inoltre, come alcune nuove varianti del trojan ZitMo destinate al sistema operativo Android abbiano iniziato ad assomigliare sempre di più a certe versioni di tale malware preposte ad attaccare altre piattaforme mobile. Mentre in precedenza ZitMo per Android era provvisto di funzionalità piuttosto “primitive” – le quali si riassumevano, in sostanza, nell’intercettare ed inoltrare ai malintenzionati i messaggi SMS contenenti i codici segreti mTAN relativi alle operazioni di banking online – le nuove versioni del trojan presentano un elenco di comandi notevolmente ampliato; tali comandi vengono naturalmente utilizzati dagli autori del programma malware in questione per controllare e gestire il “lavoro” della propria “creatura”.

Virologia della telefonia mobile, Parte 6

Esempi di alcuni comandi relativi al trojan ZitMo per Android

Sino al 2012, erano stati rilevati attacchi informatici del genere – volti a realizzare il furto del codice mTAN – esclusivamente in alcuni paesi europei, ovvero Spagna, Italia, Germania, Polonia ed altri ancora. Tali minacce IT riguardavano in ogni caso gli utenti di varie piattaforme mobile: Android, Blackberry, Symbian, Windows Mobile. Alla fine del 2012, questa tipologia di attacchi ha iniziato ad interessare anche gli utenti mobile ubicati sul territorio della Federazione Russa, paese in cui la pratica del banking online si sta attualmente diffondendo in misura sempre maggiore; tali circostanze, naturalmente, si riflettono in maniera speculare anche sul mondo del cybercrimine, andando di fatto ad influenzare e determinare l’attività stessa degli autori di malware. Il trojan-banker Carberp, particolarmente diffuso in Russia – il cui principio operativo ricalca da vicino quello del famigerato trojan ZeuS – è stato così “arricchito” di una specifica versione mobile, classificata dai nostri esperti come Trojan-Spy.AndroidOS.Citmo.

Il trojan CitMo, così come il “collega” ZeuS ZitMo, è in grado di occultare i messaggi SMS in entrata che contengono i codici mTAN e, di ritrasmetterli poi ai malintenzionati di turno. Le varie versioni di СitMo attualmente esistenti inoltrano gli SMS intercettati sia verso i numeri telefonici predisposti dai cybercriminali, sia verso i server remoti allestiti da questi ultimi.

E’ stato rilevato, nello specifico, come una delle versioni del malware Carberp andasse addirittura a modificare la pagina di accesso al sistema di banking online gestito da un istituto bancario russo. Attraverso la home page fasulla in questione, l’utente del servizio veniva invitato a scaricare ed installare un determinato programma, a quanto pare indispensabile per ottenere l’accesso al suddetto sistema di Internet banking. Nella circostanza, l’utente avrebbe ricevuto il link necessario per effettuare il download di tale “programma” sia attraverso un messaggio SMS – avendo preventivamente inserito nella pagina il proprio numero di telefono – sia tramite la scansione di un apposito codice QR.

mobile_malware_6_it_9

Il codice QR, uno dei modi previsti per generare il download del malware

In realtà, il link subdolamente proposto conduceva l’utente verso l’applicazione nociva SberSafe (Trojan-Spy.AndroidOS.Citmo), la quale, per ben due settimane, è risultata presente all’interno dell’app store ufficiale Google Play, l’ex Android Market.

Le vittime potenziali di tale raggiro informatico, avviando l’esecuzione dell’applicazione nociva, avrebbero visualizzato sullo schermo del dispositivo mobile l’esplicito invito ad inserire il proprio numero telefonico all’interno di un’apposita casella. Il numero in tal modo introdotto sarebbe stato registrato nel file <auth.txt>, per poi essere successivamente trasmesso al server remoto allestito dai malintenzionati. Trascorso un certo lasso di tempo, l’utente avrebbe ricevuto un messaggio SMS contenente un codice formato da cinque cifre, da inserire all’interno del suddetto programma. Tale codice sarebbe stato a sua volta registrato nel file <authcode.txt>, e quindi utilizzato assieme al numero telefonico in qualità di identificativo dei dati che il programma malware avrebbe successivamente inviato al server predisposto dai cybercriminali.

Durante l’attacco “sferrato” nei confronti del dispositivo mobile allo scopo di carpire il codice segreto mTAN, il trojan sopra menzionato provvedeva necessariamente a “nascondere” i messaggi SMS in entrata provenienti dal sistema di banking online. In caso contrario, in effetti, nel momento stesso in cui i malintenzionati avessero effettuato i loro tentativi di sottrarre denaro dal conto bancario collegato all’account violato, la ricezione di tali messaggi avrebbe suscitato più di un sospetto da parte dell’utente-vittima.

CitMo provvedeva a scaricare dal server allestito dai malfattori i dati relativi a due specifiche tipologie di numeri telefonici: innanzitutto, i numeri da cui sarebbero partiti i messaggi in entrata da occultare ed inoltrare poi al server remoto (registrati nel file <hide.txt>); in secondo luogo, i numeri da cui sarebbero stati invece inviati i messaggi in entrata normalmente visualizzabili da parte dell’utente (registrati nel file <view.txt>). Nel preciso momento in cui giungeva il messaggio SMS successivo, CitMo verificava il mittente dello stesso. Se i dati relativi al mittente coincidevano con quanto registrato nel file <hide.txt>, il messaggio ricevuto veniva “nascosto” all’utente e successivamente registrato nell’apposito file <messages.txt>, per poi essere in seguito inviato al server remoto predisposto dai cybercriminali.

I Trojan-SMS

Nel panorama del cybercrimine continua a ritmo piuttosto serrato il processo evolutivo del metodo in assoluto più diffuso, presso le folte schiere dei malintenzionati, per “monetizzare” in maniera alquanto efficace le attività illegali condotte attraverso il malware mobile. Se nel 2011 una delle tendenze di maggior rilievo emerse in tale segmento della cybercriminalità era rappresentata dalla comparsa dei primi Trojan-SMS specificamente destinati agli utenti situati in Europa e in America Settentrionale, nel corso del 2012 sono stati invece individuati veri e propri programmi di partenariato interamente dediti alla distribuzione di Trojan-SMS appositamente creati per infettare i dispositivi mobile degli utenti ubicati nelle due suddette macro-regioni geografiche. Come è noto, tali partnership (altrimenti conosciute come “programmi di affiliazione”) costituiscono uno degli strumenti più efficaci per la creazione, la diffusione e la “monetizzazione” dei programmi malware.

Nel 2012, gli esperti di virologia mobile hanno individuato l’esistenza di una famiglia di Trojan-SMS appositamente sviluppati per attaccare il sistema operativo Android; la famiglia di malware in questione, denominata Vidro, risultava specificamente orientata a colpire gli utenti di telefonia mobile situati sul territorio della Polonia. Di per se, dal punto di vista strettamente “tecnologico”, tale Trojan-SMS non si distingueva per qualche funzionalità innovativa o di particolare rilievo. Occorre tuttavia porre in evidenza il suo tratto più caratteristico: di fatto, il malware Vidro veniva diffuso sui dispositivi mobile degli utenti attraverso siti pornografici riconducibili ad un determinato programma di partenariato “mobile”, volto a realizzare profitti dal traffico generato tramite contenuti di natura pornografica.

Il download del suddetto Trojan-SMS sugli smartphone degli utenti polacchi veniva realizzato attraverso il dominio nocivo <vid4droid.com>. Tale dominio risultava controllato da due name server provvisti di indirizzo <carmunity.de>, mentre il mail server <vid4droid.com> era stato invece collocato su <tecmedia.eu>. Nella circostanza, sono stati individuati vari host (ad esempio <sex-goes-mobile.biz>, <sexgoesmobile.biz>, <sexgoesmobil.com>), i cui name server e mail server risultavano essere gli stessi del dominio <vid4droid.com>. Recandosi su uno di tali host, gli utenti sarebbero stati reindirizzati verso il dominio <sexgoesmobile.com>, ovvero il sito web allestito nel quadro di un programma di partenariato volto a monetizzare il traffico mobile “per adulti”.

mobile_malware_6_it_10

La home page allestita nell’ambito del programma di partenariato <SexGoesMobile.com>

Molte partnership “mobile” (perlomeno quelle russe) offrono a coloro che partecipano al programma un pieno accesso ai cosiddetti “strumenti promozionali” previsti. In tal senso, il programma di affiliazione denominato SexGoesMobile non costituisce un’eccezione. In effetti, in ogni partner del programma SexGoesMobile viene assegnato un proprio ID. L’affiliato ha quindi la possibilità di creare un proprio sito web mobile, utilizzando uno dei vari template messi a disposizione (ogni modello ha un proprio nome di dominio), generare un URL unico con il proprio ID – destinato a condurre l’utente verso il dominio <vid4droid.com> – e collocare il suddetto URL all’interno del proprio sito.

Cliccando su uno qualsiasi dei link posizionati nel sito creato attraverso l’apposito template, l’utente giungeva quindi sul dominio <vid4droid.com>. Intanto, il server remoto, in base allo specifico referrer (URL unico con ID del partner) generava una sequenza univoca di caratteri alfanumerici (lettere e cifre). Così, sul sito <vid4droid.com>, sotto forma di porno-applicazione, veniva offerto all’utente mobile il download del file <vid4droid.apk>, il quale si rivelava essere, in realtà, null’altro se non il programma trojan Vidro.

Una volta penetrato all’interno del dispositivo mobile dell’ignaro utente, il trojan in questione provvedeva ad inviare al numero a pagamento polacco 72908 un SMS сon il testo “PAY {sequenza univoca di caratteri alfanumerici}”, ovvero la stessa sequenza univoca di lettere e cifre generata sulla base dell’URL e dell’ID dell’affiliato. In tal modo, ogni partner del programma sottraeva denaro agli utenti-vittima mediante l’utilizzo di un “proprio” Trojan-SMS, in grado di inviare messaggi SMS con testo univoco.

La comparsa di simili programmi di partenariato aldilà dei confini di Russia ed Ucraina rappresenta indubbiamente un indice inequivocabile del fatto che l’industria del malware mobile è ormai divenuta una preoccupante ed estesa realtà non solo all’interno della Federazione Russa, ma anche sul territorio di altri paesi.

Gli incidenti virali dovuti a software dannosi presenti negli app store ufficiali

Nonostante Google abbia introdotto il modulo antivirus denominato Google Bouncer, preposto al controllo automatico di tutte le nuove applicazioni inserite in Google Play (l’ex Android Market), non si sono registrate significative variazioni riguardo al numero medio degli incidenti virali che si sono prodotti e alle proporzioni di questi ultimi.

Come è noto, l’attenzione dell’opinione pubblica viene abitualmente catturata da quei casi in cui si verifica un elevato numero di infezioni informatiche; ne è un esempio l’incidente che ha visto per protagonista il programma malware Dougalek, scaricato da decine di migliaia di utenti (in particolar modo in Giappone). Nella circostanza, l’infezione informatica propagatasi sui dispositivi mobile contagiati ha dato luogo ad una delle più eclatanti e massicce fughe di dati personali relativi ad utenti mobile. Qualche tempo dopo il manifestarsi di tale incidente di sicurezza, la polizia di Tokyo ha arrestato 5 persone sospettate di essere responsabili della creazione e della diffusione del suddetto programma nocivo; si è trattato, nella circostanza, del secondo caso di arresto, nel corso del 2012, di virus writer specializzati nell’elaborazione di malware destinati a dispositivi mobile.

Nel 2012 si è verificato un ulteriore significativo avvenimento riguardo alla presenza di software nocivi all’interno di negozi ufficiali di applicazioni: si è trattato, nella fattispecie, del primo caso di malware mobile per iOS – il sistema operativo sviluppato per i dispositivi mobile prodotti da Apple – rilevato all’interno dell’App Store. All’inizio del mese di luglio è stata in effetti individuata un’applicazione sospetta denominata “Find and Call”; copie di essa sono state trovate sia nell’App Store che su Android Market.

mobile_malware_6_it_11

L’applicazione Find and Call dopo l’installazione sul dispositivo mobile

Una volta scaricata ed avviata l’applicazione in causa, l’utente si trovava di fronte ad una richiesta di registrazione inerente al programma stesso, per la cui effettuazione sarebbe stato necessario immettere il proprio indirizzo e-mail ed il proprio numero di telefono. Se, una volta esaurita la procedura di “registrazione, l’utente avesse cercato di “trovare gli amici presenti nella rubrica telefonica” tramite l’applicazione installata sul proprio dispositivo mobile, tutti i contatti annotati nella rubrica sarebbero stati subdolamente trasmessi – a totale insaputa dell’utente – ad un server remoto, nel formato seguente:

http://abonent.findandcall.com/system/profile/phoneBook?sid=

Dopo qualche tempo, ad ogni numero telefonico illegalmente carpito – presente nella rubrica telefonica del dispositivo mobile compromesso – sarebbe giunto un messaggio di spam tramite SMS, contenente l’esplicito invito a cliccare su un apposito link, per scaricare l’applicazione “Find and Call”.

Dopo la pubblicazione delle informazioni relative a tale incidente di sicurezza, alcuni utenti hanno iniziato a chiederci il motivo per cui tale applicazione venisse di fatto classificata tra quelle nocive. La ragione è ben evidente: la suddetta applicazione esegue, ad insaputa dell’utente, il download della rubrica telefonica su un server remoto; i numeri telefonici in tal modo sottratti vengono poi utilizzati per effettuare l’invio di messaggi SMS di spam.

Fortunatamente, l’incidente sopra descritto rappresenta, al momento, l’unico caso confermato di rilevamento di un programma nocivo all’interno dell’App Store, il negozio ufficiale di applicazioni per gli apparecchi provvisti di sistema operativo iOS.

Il cyber-spionaggio attraverso il malware mobile

Avevamo ipotizzato, lo scorso anno, che il furto dei dati sensibili custoditi sui telefoni cellulari, così come la sorveglianza di una determinata persona tramite il telefono utilizzato da quest’ultima ed i servizi di geo-localizzazione mobile, sarebbero ben presto divenuti un fenomeno largamente diffuso, superando in tal modo i naturali confini previsti per l’impiego di tali tecnologie, generalmente ad appannaggio delle forze dell’ordine e di società private che si occupano della conduzione di delicate attività investigative. Le nostre previsioni, purtroppo, si sono puntualmente avverate. Il numero complessivo dei programmi malware che, in base al loro specifico comportamento, possono essere ricondotti alla categoria dei Trojan-spyware o dei Backdoor è difatti cresciuto di centinaia di volte rispetto all’anno passato. Desideriamo ugualmente sottolineare la presenza di un numero sempre maggiore di applicazioni commerciali preposte allo svolgimento di operazioni di monitoraggio, applicazioni che, talvolta, si distinguono a fatica dai programmi nocivi veri e propri.

La storia delle pratiche di spionaggio condotte attraverso il dispiegamento di insidiosi malware mobile, per quanto relativamente breve in termini temporali, presenta già episodi di notevole rilevanza. Ricordiamo, a tal proposito, come nell’anno 2009, mascherati sotto forma di aggiornamenti di sicurezza, agli utenti Blackberry di uno dei maggiori operatori di telefonia mobile degli Emirati Arabi Uniti siano stati inviati messaggi SMS contenenti un particolare link nocivo, preposto a condurre verso il download di un programma spyware. Non bisogna dimenticare, a tal riguardo, il preciso interesse mostrato dagli enti governativi di vari paesi nel cercare di ottenere l’accesso alle comunicazioni protette che possono essere realizzate attraverso gli smartphone Blackberry.

Gli eventi più eclatanti che nel corso del 2012 hanno contrassegnato il panorama del cyber-spionaggio mobile sono stati i seguenti:

  • individuazione di versioni mobile del modulo spyware FinSpy, programma sviluppato dalla società britannica Gamma International;
  • rivelazione dei dettagli tecnici riguardanti l’operazione “Ottobre Rosso” (Red October), un’avanzata campagna di spionaggio informatico nel corso della quale sono stati raccolti dati sensibili ed informazioni segrete non solo attraverso i computer e gli strumenti di rete appartenenti alle organizzazioni sottoposte ad attacco (istituzioni diplomatiche ed agenzie governative), ma anche tramite i dispositivi mobile in uso presso il personale delle stesse.

Si tratta di due casi di particolare rilevanza, che meritano di sicuro un’analisi particolarmente approfondita nell’ambito del nostro report sul malware mobile.

FinSpy

Le versioni mobili di FinSpy costituiscono solo una parte del portafoglio prodotti offerto dalla società britannica Gamma International. Le prime informazioni riguardo all’esistenza di un complesso di software destinati all’esecuzione di operazioni di monitoraggio remoto erano state già diffuse nella prima metà del 2011. Sempre nel corso dello stesso anno erano state rese note ulteriori informazioni a tal riguardo, le quali avevano evidenziato l’esistenza di versioni mobile del modulo di programma denominato FinSpy. Solo nel mese di agosto 2012, tuttavia, The Citizen Lab – il noto laboratorio interdisciplinare insediato presso l’Università di Toronto – ha avuto l’opportunità di poter analizzare le versioni mobile di FinSpy appositamente sviluppate per i sistemi operativi Android, iOS, Windows Mobile, Symbian e Blackberry.

Le numerose varianti di FinSpy, elaborate per le principali piattaforme mobile esistenti sul mercato, sono risultate provviste di funzionalità alquanto simili tra loro:

  • registrazione delle chiamate telefoniche in entrata e in uscita;
  • effettuazione di chiamate nascoste per lo svolgimento di intercettazioni ambientali;
  • furto delle informazioni custodite nello smartphone (registri delle chiamate, messaggi SMS/MMS, contatti, etc.);
  • possibilità di rintracciare le coordinate del dispositivo mobile;
  • realizzazione di comunicazioni Internet/SMS con il centro di comando.

Tuttavia, ognuna delle versioni del software in questione, specificamente sviluppata per una determinata piattaforma mobile, presenta le proprie peculiarità. Ad esempio, la versione di FinSpy per il sistema operativo Symbian è in grado di catturare l’immagine dello schermo; FinSpy per Blackberry effettua invece il monitoraggio delle attività di messaggistica istantanea svolte dall’utente attraverso Blackberry Messenger; la versione per l’OS Android è in grado di attivare/disattivare la modalità “Uso in aereo”; FinSpy per iOS può essere installato su un numero limitato di dispositivi provvisti di uno specifico UDID (Unique Device Identifier); la versione per Windows Mobile, infine, utilizza i cosiddetti file di configurazione XML per le operazioni di provisioning, allo scopo di modificare le policy di sicurezza adottate.

Una particolarità assai curiosa che riguarda tutte le versioni mobile di FinSpy attualmente esistenti è rappresentata dalla creazione e dall’utilizzo del file di configurazione denominato <84c.dat>. I meccanismi che ne determinano la generazione si differenziano a seconda del sistema operativo; il file in questione risulta particolarmente importante in quanto esso contiene tutte le informazioni indispensabili per il funzionamento del modulo spyware (indirizzo del server C&C, numero del C&C mobile, porte utilizzate, etc.).

mobile_malware_6_it_12

Sezione del file di configurazione <84c.dat> per Android, codificato tramite l’algoritmo base64

Vi è tuttavia un importante “MA” da rimarcare! Le principali funzionalità possedute dai moduli mobili di FinSpy non rappresentano di per se qualcosa di davvero singolare od unico. In effetti, un simile set di funzioni è stato già più volte rilevato in numerosi programmi spyware commerciali, quali, ad esempio, FlexiSpy o MobileSpy. Il maggiore tratto distintivo di FinSpy è indubbiamente rappresentato proprio dal suo stesso sviluppatore: si tratta, di fatto, di una società ufficialmente registrata in Gran Bretagna, la quale, secondo le informazioni presenti sul sito web della stessa, si occupa della creazione di strumenti per il monitoraggio remoto, per organizzazioni ed enti governativi.

Non vi sono, per il momento, informazioni su chi potrebbe avere eventualmente commissionato la conduzione di attacchi informatici attraverso FinSpy, né si registrano, per ora, vittime effettive di episodi legati al dispiegamento del suddetto spyware; è tra l’altro, piuttosto improbabile che in futuro si possano ottenere adeguate risposte a tali interrogativi. In ogni caso, anche in mancanza di informazioni specifiche al riguardo, la comparsa di FinSpy ha segnato di sicuro l’inizio di un nuovo capitolo nella storia del malware mobile realizzato per l’effettuazione di operazioni di spionaggio informatico.

L’operazione “Ottobre Rosso”

Se alla fine del 2012 qualcuno poteva avere ancora dei dubbi residui riguardo alla rilevanza delle tematiche inerenti al cyber-spionaggio mobile, le dettagliate informazioni rese note riguardo all’operazione “Ottobre Rosso” (Red October) hanno definitivamente sgombrato il campo da qualsiasi equivoco: il dato incontrovertibile è che i dispositivi mobile stanno anch’essi sempre di più diventando bersaglio sia di attacchi mirati, sia di attacchi portati con intenti spionistici, esattamente come avviene già da tempo nella sfera dei computer tradizionali.

Nella circostanza specifica, disponiamo di prove evidenti riguardo al fatto che persone sconosciute – le quali agiscono dietro le quinte nell’ambito dell’operazione di cyber-spionaggio oggetto del presente capitolo del report – sono interessate ad ottenere le informazioni sensibili custodite in determinati dispositivi mobile. Tali informazioni possono essere carpite non solo utilizzando un malware appositamente progettato per colpire gli apparecchi mobile, ma anche attraverso specifici moduli per Windows, i quali interagiscono con i dispositivi connessi al computer infetto. In questa sezione del nostro consueto resoconto sull’evoluzione del malware mobile, andremo ad analizzare in dettaglio tutte le informazioni di cui disponiamo riguardo ai moduli mobili utilizzati nell’ambito della vasta operazione di spionaggio informatico denominata “Ottobre Rosso”, così come quelle informazioni che, in un modo o nell’altro, possono essere associate a tali moduli.

Uno dei moduli dannosi utilizzati nel quadro di tale campagna di cyber-spionaggio, denominato RegConn, è preposto a raccogliere le informazioni relative al sistema, così come i dati riguardanti la dotazione software installata nel computer sottoposto a contagio informatico e abitualmente utilizzata dal suo proprietario. Tali informazioni vengono ottenute tramite la lettura di determinate chiavi di registro (l’elenco delle chiavi è contenuto all’interno del modulo stesso). Evidenziamo, nello schema qui di seguito riportato, alcune delle chiavi prese di mira dal modulo RegConn:

mobile_malware_6_it_13

Alcune delle chiavi di registro prese di mira dal modulo RegConn

Le chiavi di registro sopra elencate hanno a che fare, in una maniera o nell’altra, con i software utilizzati per interagire con i dispositivi mobile (quali, ad esempio, iTunes e Nokia PC Suite), software che possono risultare installati nel computer infetto.

Un ulteriore componente di Ottobre Rosso è stato appositamente creato per operare con gli apparecchi iPhone. Il modulo in questione risulta preposto alla raccolta di informazioni custodite nello smartphone collegato al computer infettato da tale modulo. Per svolgere l’attività nociva cui è preposto, esso utilizza la libreria di iTunes denominata CoreFoundation.dll. Desideriamo sottolineare come il suddetto modulo preveda l’avvio di due diversi servizi: uno di essi viene eseguito nel caso in cui il dispositivo mobile non sia stato precedentemente sottoposto a procedure di jailbreaking; il secondo viene invece eseguito qualora il dispositivo mobile risulti violato. In sostanza, tale modulo cerca di ottenere:

  • informazioni relative al dispositivo stesso, iniziando dall’ID univoco dello smartphone per terminare con la versione del firmware;
  • i file con le seguenti estensioni: .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .wav, .mp4, .m4a, .amr, .log, .cer, .em, .msg, .arc, .key, .pgp, .gpg;
  • il contenuto dei file che custodiscono le informazioni relative a messaggi SMS, contatti, registri delle chiamate, note, calendario, voice mail, cronologia del browser Safari, così come riguardanti la posta elettronica.

Il modulo per Nokia dispone di funzionalità molto simili e raccoglie anch’esso informazioni relative al dispositivo stesso, ai messaggi SMS/MMS, al calendario, ai contatti e alle applicazioni installate; allo stesso modo, il modulo “dedicato” agli smartphone Nokia cerca di individuare e carpire i file provvisti delle seguenti estensioni: .txt, .cdb, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .jpg, .waw, .mp4, .m4a, .amr, .exe, .log, .cer, .eml, .msg, .arc, .key, .pgp, .gpg. Per interagire con il dispositivo mobile collegato al computer infetto, il modulo si avvale della libreria ConnAPI.dll, facente parte del programma PC Connectivity Solution.

Non si possono non menzionare, poi, i componenti di Ottobre Rosso preposti ad “operare” con i dispositivi mobile dotati di OS Windows Mobile. Tali moduli possono essere suddivisi in due distinti gruppi:

  1. moduli che agiscono sul computer Windows infetto (utilizzati per infettare/aggiornare il dispositivo Windows Mobile collegato al computer);
  2. moduli installati dal componente Windows sullo smartphone provvisto di sistema operativo Windows Mobile e collegato al computer.

Il primo gruppo di moduli non è stato creato dai virus writer allo scopo di raccogliere le informazioni custodite nel dispositivo mobile – dotato di OS Windows Mobile – connesso al computer. Il compito principale dei suddetti moduli, in effetti, è rappresentato dall’installazione di un programma backdoor sullo smartphone (o dall’esecuzione dell’aggiornamento di tale backdoor). Il componente backdoor che viene installato sullo smartphone ad opera di uno dei moduli riconducibili al primo dei due gruppi sopra citati è stato denominato internamente “zakladka”.

In aggiunta al backdoor, il componente Windows esegue il caricamento di ulteriori file eseguibili sul dispositivo mobile, file che vengono poi utilizzati per apportare modifiche alla configurazione del dispositivo, per avviare l’esecuzione del programma backdoor, per l’aggiornamento di quest’ultimo o per l’eliminazione dello stesso; i file eseguibili aggiuntivi vengono altresì utilizzati per le operazioni di copiatura, dal computer allo smartphone, di uno speciale file di configurazione, denominato <winupdate.cfg>.

Inizialmente, tale file si presenta sotto forma criptata. Una volta decodificato, esso appare nella maniera seguente:

mobile_malware_6_it_14

II file <winupdate.cfg> dopo l’operazione di decodifica

Il file sopra riportato contiene informazioni relativamente ai codici MСС/MNC (MCC – Mobile Country Code; MNC – Mobile Network Code, ovvero il codice del paese ed il codice dell’operatore di telefonia mobile). Abbiamo contato, in totale, 129 paesi unici ed oltre 350 operatori mobile riconducibili a tali paesi.

Il componente backdoor “zakladka” definisce i codici MCC/MNC relativi allo smartphone-vittima e provvede a confrontare le informazioni ricevute con le informazioni contenute nel file <winupdate.cfg>, registrando il tutto in un file di log.

Il modulo “zakladka”, durante le procedure di interazione con il C&C cerca di inviare agli indirizzi dei centri di comando contenuti nel modulo stesso (<win-check-update.com> oppure, se tale dominio non risulta accessibile, <mobile-update.com>) una richiesta POST del tipo seguente:

‘POST %s HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 Content-Length: %d Host: %s’

In qualità di risposta, il modulo riceve dal server remoto un file che viene memorizzato in \Windows\%u.exe, per poi essere successivamente eseguito.

Visto che abbiamo citato, qui sopra, i domini relativi ai C&C, non possiamo esimerci dal menzionare, oltre a <win-check-update.com> e <mobile-update.com>, i nomi di ulteriori presunti C&C da noi individuati:

  • cydiasoft.com
  • htc-mobile-update.com
  • mobile-update.com
  • playgoogle-market.com
  • security-mobile.com
  • world-mobile-congress.com

Ricapitolando, l’analisi effettuata ci consente di trarre le seguenti conclusioni:

è stata in primo luogo appurata l’esistenza di vari moduli nocivi – utilizzati nel quadro della campagna di cyber-spionaggio “Ottobre Rosso” – appositamente creati per realizzare il furto di informazioni sensibili custodite in vari tipi di dispositivi mobile.

Vi sono, in secondo luogo, indizi e segnali specifici – anche se di natura indiretta (elenco delle chiavi di registro, nomi di dominio) riguardo all’esistenza, nell’ambito dell’operazione “Ottobre Rosso”, di moduli previsti per interagire con altri dispositivi mobile, in particolar modo quelli dotati di sistema operativo Android e Blackberry; al momento della pubblicazione del presente articolo, tuttavia, tali moduli non sono stati ancora individuati dai nostri esperti.

Conclusioni

Da quando le minacce IT specificamente rivolte alle piattaforme mobile hanno fatto la loro comparsa sulla scena del cybercrimine, ogni anno si verificano incidenti di sicurezza ed eventi che marcano in maniera significativa le nuove fasi del processo evolutivo del malware mobile. Da questo punto di vista, il 2012 può essere senz’altro considerato come uno degli anni chiave nell’evoluzione delle minacce informatiche appositamente create dai virus writer per colpire smartphone, tablet ed altri dispositivi mobile. Vediamo per quali specifiche ragioni.

Innanzitutto, nell’anno oggetto del presente report, il numero dei programmi malware “dedicati” ai sistemi operativi mobile è cresciuto in maniera davvero esponenziale.

In secondo luogo, la piattaforma Android è definitivamente assurta al ruolo di principale bersaglio dei cybercriminali specializzati nella creazione e distribuzione di malware mobile.

Inoltre, le minacce informatiche espressamente destinate ai dispositivi mobile hanno ormai assunto un carattere di spiccata “internazionalità”. Al giorno d’oggi, non sono più esclusivamente gli utenti russi o cinesi ad essere presi di mira dalla cybercriminalità mobile, come invece si verificava in precedenza. Sono stati difatti individuati seri incidenti virali, che hanno prodotto danni di considerevoli proporzioni, anche in altri paesi.

Infine, sono state ottenute ampie prove riguardo al fatto che i dispositivi mobile e i dati in essi custoditi possono costituire l’obiettivo a cui mirano non solo i cybercriminali “comuni”, ma anche determinate organizzazioni che si celano dietro le quinte di attacchi informatici del tipo di “Ottobre Rosso”, l’estesa campagna di spionaggio informatico recentemente scoperta.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *