Ancora al top delle classifiche trojan bancari e malware su base android come trend di maggiore incidenza ma la minaccia si specializza sulla base delle vulnerabilità e dei bug che possono garantire denaro facile agli attaccanti.
Che lo smartphone sia un vero e proprio pc in miniatura è un fatto noto ormai quasi per tutti, meno evidente alla maggioranza degli utenti è il rischio che il device mobile possa essere compromesso da malware specializzati per il fine di furto di identità, ricatto, azioni di spionaggio o per spillare soldi alle ignare vittime mediante pubblicità e banner installati fraudolentemente. Per questo motivo è importante rendere evidente il comportamento delle maggiori minacce in circolazione, la loro tipologia, insieme alla raccomandazione di installare un software antivirus, non cedere alla tentazione di clickare su link, e messaggi provenienti da fonti non note, evitando cosi’ di cadere vittima di phishing, e terminare le sessioni del browser che propongono improbabili pop up dai toni allarmanti.
La top tre
La classifica della minaccia per i dispositivi mobili è rimasta inalterata rispetto ai dati diffusi nel mese di marzo e presenta al primo posto Lokibot, trojan bancario che colpisce i sistemi Android, ruba informazioni e può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore. Al secondo posto Triada, malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, seguito da Hiddad, un altro malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti.
Lo studio della minaccia è basato sui dati del Global Threat Index di Check Point che permette di mantenere una classifica aggiornata mensilmente.
Le minacce per Android
Fra le minacce mobile per Android, una particolare menzione spetta al malware, denominato RottenSys, che ha già colpito quasi 5 milioni di dispositivi a partire da settembre 2016 con la maggior incidenza sui brand Honor, Huawai e Xiaomi. RottenSys è un adware, ossia un programma malevolo che raccoglie informazioni sulle operazioni effettuate dall’utente e visualizza periodicamente sul display del dispositivo del malcapitato messaggi pubblicitari ovviamente non richiesti e fraudolenti. Il malware non è stato contratto dopo l’acquisto, ma è stato preinstallato sui dispositivi all’interno della catena di montaggio. Il suo rilevamento non è semplice perché si camuffa servizio wifi innocuo, ma di fatto non è legato a nessun servizio WiFi. Come molti malware, è capace di collegarsi al server principale installando in seguito componenti malevoli in grado di fare operazioni. Se inizialmente Rottensys era specializzato solamente nel mostrare pubblicità ingannevole sullo smartphone tanto da garantire tuttora circa 100.000 euro ogni dieci giorni solo tramite gli annunci pubblicitari, ha successivamente subito variazioni offrendo la possibilità di prendere il controllo dello smartphone da remoto e di installare applicazioni senza che l’utente se ne accorga
Vulnerabilità LG
Fra le vulnerabilità in ambito mobile le ultime due segnalate dai ricercatori Check Point riguardano la tastiera predefinita di tutti gli smartphone LG (modelli LG G4, LG G5 e LG G6). A fronte della segnalazione, LG ha rilasciato una patch di aggiornamento, inclusa all’interno dell’aggiornamento di sicurezza di maggio che risolve entrambe i problemi ma sebbene sia classificato con un livello di importanza “alto”, non è chiaro se questo aggiornamento verrà scaricato automaticamente.
Dalle analisi del team, la prima falla è legata a un meccanismo che consente la scrittura manuale sulle tastiere aziendali. È stato dimostrato che quando il dispositivo aggiorna la lingua in questa interfaccia, si connette a un server esterno e trasmette le informazioni utilizzando un collegamento non protetto, che lascia i dispositivi esposti a interferenze esterne. In questo modo, un hacker potrebbe approfittarne ed eseguire un attacco Man-in-the-Middle. La seconda vulnerabilità, riguarda il file system dell’azienda: un hacker può penetrare nel sistema utilizzando la prima vulnerabilità, inserire ulteriori comandi sulla tastiera, modificando unicamente l’estensione del file.
LG ha invitato gli utenti ad aggiornare i propri sistemi operativi con particolare attenzione ai modelli: serie G (G5, G6), serie V (Q10, Q10, V8), serie X (X300, X400, X500).
Approfondimenti
Sul Blog di Check Point è disponibile il Comunicato approfondito sul malware Rottensys.
