Minaccia mobile: cinque motivi per cui il vostro smartphone è a rischio

Gartner prevede che entro il 2020 20,8 miliardi di dispositivi connessi saranno in uso a livello mondiale. Le minacce che insistono nell’ambito mobile possono intaccare ciascuno di questi device e minare o compromettere i dati personali della vittima.

Threat model e minaccia mobile

Secondo diversi threat report dei security vendor l’evoluzione del codice maligno verso i dispositivi mobili compresi quelli dell’IoT rappresenta un crescente rischio per gli utenti connessi, che devono quindi prepararsi per accogliere le innovazioni tecnologiche senza “scoprire il fianco” alle minacce informatiche.

Dal McAfee Mobile Threat Report si apprende che sono stati rilevati oltre 16 milioni di malware mobili infestanti nel terzo trimestre del 2017, ma soprattutto fra le conclusioni del report si apprende che la sofisticazione degli attacchi perpetrata sui PC e l’esigenza di monetizzazione potrebbero portare diversi gruppi di attaccanti a concentrarsi sul malware per i dispositivi connessi, trasformando il 2018 nell’anno del malware per mobile.

In particolare si dovrebbe assistere a una maggiore incidenza di trojan bancari destinati ai titolari di account di grandi banche multinazionali e di piccole dimensioni regionali, più frodi su account di banche online o dedite ad operazioni su criptovalute e molti più attacchi mirati a spionaggio e sorveglianza attraverso i dispositivi mobili.

L’evoluzione delle minacce

Secondo il Mobile Threat landscape di Trend Micro se le minacce mobili nel 2016 si sono distinte per diversificazione e ampliamento è nel 2017 che sono maturate: i ransomware da semplici malware che inizialmente bloccavano il monitor si sono evoluti aggiungendo la crittografia per bloccare i file della vittima prima di chiedere il riscatto. Nel 2017, sono stati trovati e analizzati poco meno di 470mila campioni unici di ransomware mobile con un incremento del 415% rispetto al 2016. I trojan bancari, usano maggiormente la tecnica di offuscamento e la trasmissione in tempo reale delle credenziali dalle loro banche di interesse per gli attaccanti. Nel 2017 ne sono stati trovati oltre 100 mila esempi unici, circa il 94% in più del 2016. L’adware, che nel migliore dei casi era un fastidio, oggi è capace di acquisire le abitudini di navigazione degli utenti mentre gli attacchi mirati sono diventati più evidenti, facendo emergere in che misura i dispositivi mobili siano stati utilizzati nelle campagne correlate al cyberespionage fin dal 2011. Infine gli attaccanti hanno trovato più modi per eludere il rilevamento e persistere all’interno di un dispositivo interessato oscurando ulteriormente le loro routine dannose e nascondendosi dietro servizi legittimi o fingendosi uno di essi. Il totale delle minacce mobile bloccate da Trend Micro si è assestato alla cifra di circa 58 milioni di sample su tutto il 2017.

Cosa sapere

Check Point ha invece avviato un programma di aumento della consapevolezza dal titolo “Meet the Hackers” nato con lo scopo divulgare e far capire quanto sia rischioso avere un dispositivo mobile non protetto. Fra gli elementi di conoscenza sono stati forniti i quattro profili di “creatori” di malware mobile: gli esploratori ovvero sviluppatori state-level che generano malware capaci di andare in missione di ricognizione, vedi il caso CIA/Vault 7; le spie, coloro che creano malware con lo scopo di fare spionaggio industriale di governi e organizzazioni in tutto il mondo. Tra gli esempi più eclatanti il NSO Group – venditore di armi informatiche che si cela dietro il malware Pegasus – che conta tra i suoi clienti anche il governo messicano. I “finti genitori”, hacker che diffondono spyware sotto forma di sistemi di “parental control” e infine i normali, che sono gli hacker che sviluppano “malware ordinari” per guadagnare denaro illecito. Le quattro categorie non sono del tutto diverse: considerando tecniche, tecnologie e parti intere di codice, hanno parecchi punti in comune.

Cinque motivi percui è facile subire un attacco su smartphone

Le motivazioni principali che spingono gli attaccanti a preferire l’ambito mobile riguardano alcuni elementi di contesto:

• la maggior parte degli utenti mobile non protegge il proprio dispositivo come dovrebbe o non scarica le patch di aggiornamento: mentre i PC sono muniti di sistemi di protezione, gli smartphone sono troppo spesso sguarniti e per un malintenzionato risulta molto semplice entrare in un dispositivo;
• Ampia superficie di attacco: dei due miliardi di utenti mobile in giro per il mondo, un quarto possiede più di un dispositivo, è quindi comprensibile pensare come l’economia di scala offerta dai dispositivi mobili è incredibilmente attraente per i criminali informatici.
• il numero di cellulare non è considerato un dato altamente riservato, quindi i gruppi di spionaggio rintracciano facilmente i numeri di telefono delle potenziali vittime per mettere in atto consistenti operazioni di phishing.
• un dispositivo mobile infetto può causare molti più danni di un PC. Per esempio, i malware mobile banking possono sfruttare la loro capacità di accesso alle chiamate in arrivo e ai messaggi SMS aggirando le soluzioni di sicurezza basate sull’autenticazione a due fattori.
• i dispositivi mobili infetti sono la miglior arma di spionaggio, poiché gli utenti portano con sé i cellulari – con microfono e telecamera integrati sfruttabili – gli hacker possono seguire e registrare costantemente la vittima a sua insaputa.

Da punto di vista degli attaccanti quindi l’ambito mobile ha un potenziale enorme: i dispositivi mobile sono perfetti sia per gli attacchi più mirati sia per quelli di massa consentendo agli hacker di effettuare dei reati mai visti prima.

Classifica delle minacce mobile

A Gennaio e  Febbraio la graduatoria degli attacchi specializzata per i mobile ha visto Lokibot,Triada e Hiddad, alle prime tre posizioni con Lokibot al primo posto, trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore. Al secondo posto Triada, un malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, e infine Hiddad un Android malware che riconfeziona app legali e poi le consegna a un negozio di terze parti.

Sebbene il trend dei malware Criptominers sia diffuso, non ha una effettiva applicabilità in ambito mobile perché, come ci spiega David Gubiani, Security Engineering Manager Italy di Check Point, non è conveniente per un miner targetizzare un dispositivo mobile, dato che quest’attività di cryptomining manda subito in saturazione il dispositivo. I miner preferiscono di gran lunga concentrarsi sui PC, proprio per la poca resa da parte di un device mobile per quest’attività.

Cosa fare per proteggersi

McAfee nel suo ultimo Mobile Threat Report oltre a descrivere la minaccia fornisce anche alcuni consigli di difesa: proteggere i dispositivi mobili (tutte le tipologie) nell’ambito privato degli ambienti domestici, mediante un gateway che abbia  la sicurezza integrata e nativa; scaricare con cautela app nuove e di “moda” e aggiornarle regolarmente avendo cura di eliminarle quando non siano più supportate nel Play store; difendere il dispositivo personale con un software di sicurezza completo (antivirus, antispam, ad blocking etc).

Soprattutto e in aggiunta alle raccomandazioni dei Vendor è necessario ricordare la regola aurea della sicurezza informatica: non clickare su tutto quello che si riceve via mail, in chat, su social senza verificare chi invia, se si conosce il mittente, se è vero che ha inviato proprio lui/lei. Coltivare insomma un ragionevole dubbio prima di agire meccanicamente, aprendo la porta ad una infezione informatica.