Tratto dallo speciale:

Minacce Mobile: ultime novità

di Alessia Valentini

Pubblicato 22 Giugno 2017
Aggiornato 12 Febbraio 2018 20:46

Al CPX di Milano si è parlato anche di minaccia mobile e, rispetto al primo trimestre, si assiste a una crescita di attacchi. Lo conferma l’indagine Dimensional Research The Growing Threat of Mobile Device Security Breaches promossa da Check Point, secondo cui il 94% dei professionisti di sicurezza si aspetta una crescita di questi attacchi ma solo il 38% utilizza una soluzione di mobile security per proteggersi.

Quasi due terzi (64%) degli intervistati ha dichiarato di dubitare che la propria azienda sia in grado di prevenire un attacco mobile. Il 20% degli intervistati ha invece dichiarato che la propria azienda ha già subito una violazione della sicurezza tramite i dispositivi mobili, e un altro 24% non ha saputo dire se i dispositivi dei propri dipendenti fossero stati violati. All’indagine globale ha partecipato un campione di 410 responsabili di sicurezza o frontline, garantendo lo spettro completo di incarichi e dimensioni aziendali.

I principali risultati dell’indagine includono:

  • Il malware è la tipologia di attacco mobile più comune: il 58% degli intervistati ha registrato attacchi di malware contro i dispositivi mobile della propria azienda, il 54% exploit di phishing SMS e un altro 54% attacchi di rete WiFi o exploit man-in-the-middle. Il 41% ha inoltre registrato furto delle credenziali e keylogging exploit contro i cellulari.
  • Le violazioni mobile sono costose: il 37% degli intervistati ha dichiarato che il costo di una violazione da mobile per la loro azienda sarebbe superiore ai $100.000 mentre il 23% ha dichiarato che costerebbe più di $500.000. Questi costi sono simili a quelli stimati per una violazione da PC desktop o laptop, evidenziando la quantità di dati sensibili memorizzata sui dispositivi mobile e la facilità di accesso che offrono alle risorse aziendali.
  • La mancanza di risorse è una barriera contro la piena protezione dei dispositivi mobile. Oltre il 60% degli intervistati ha citato la mancanza di risorse (sia di bilancio che di personale) come motivo principale per non aver implementato una soluzione di sicurezza per i dispositivi mobile. Tuttavia, il 62% delle aziende sta allocando maggiori risorse per le iniziative di sicurezza mobile rispetto agli anni precedenti.

Il panorama legato ai rischi mobile è in continuo mutamento: nuovi dispositivi accedono alle reti aziendali ogni giorno e i criminali informatici continuano a sviluppare malware specifici e tattiche di attacco per dispositivi mobile. Tutto questo comporta che, per chi si occupa di sicurezza informatica in azienda, è estremamente difficile per tenere il passo.

David Gehringer, principal di  Dimensional Research, e autore della relazione, ha dichiarato:

“Considerando che il 20% degli intervistati ha affermato che la propria azienda ha già subito una violazione della sicurezza tramite i dispositivi mobili, e che un altro 24% non ha saputo dire se i dispositivi dei propri dipendenti fossero stati violati, è chiaro che i professionisti della sicurezza stiano faticando nel proteggere il crescente numero di dispositivi mobile in loro dotazione. Questo è messo in evidenza anche da un grande numero di intervistati che ha citato la mancanza di risorse come motivo principale per non aver implementato soluzioni di sicurezza dei dispositivi mobili. Tuttavia, è incoraggiante notare come il 62% delle aziende stia allocando maggiori risorse alle iniziative di sicurezza mobile rispetto agli anni precedenti: è una questione che deve essere affrontata con urgenza, dato il forte aumento di attacchi mobile che ci si aspetta nel corso del prossimo anno”.

La Top Three di Aprile

Per quanto riguarda i malware mobile, le famiglie al primo e secondo posto restano invariate rispetto al primo trimestre 2017, mentre Lotoor conquista il terzo posto.

  1. Hiddad – malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
  2.  Hummingbad – malware Android che stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali e riesce a scavalcare la crittografia utilizzata dalle aziende.
  3.  Lotoor – applicazione che sfrutta le vulnerabilità di Android per ottenere privilegi su dispositivi mobili compromessi

La minaccia FalseGuide 

FalseGuide è il malware individuato in 45 applicazioni di guide per giochi presenti su Google Play. Da segnalare che le ultime 5 applicazioni sviluppate da “Anatoly Khmelenko” che sono state identificate dopo il 24 aprile, data della prima pubblicazione realizzata da Check Point su questa scoperta, sono state caricate nello store già a novembre 2016.  Questo significa che le ultime 5 applicazioni sono rimaste nascoste con successo per cinque mesi, accumulando un numero incredibile di download.

La stima aggiornata include quasi 2 milioni di utenti infetti.

Naturalmente il malware è già stato segnalato  a Google, che ha rimosso rapidamente dallo store tutte le finte guide. 

In passato altri malware simili a FalseGuide sono stati individuati su Google Play, come Viking Horde e DressCode.  FalseGuide crea una botnet silenziosa che distribuisce advertising fraudolenti. FalseGuide richiede un permesso insolito durante l’installazione – l’amministrazione del dispositivo. Il malware sfrutta tale permesso per evitare di essere eliminati dall’utente, un’azione che normalmente suggerisce un comportamento maligno. Il malware si registra poi a un topic di Firebase Cloud Messaging che ha lo stesso nome dell’app. Una volta iscritto al topic, FalseGuide può ricevere messaggi contenenti link a moduli aggiuntivi da scaricare sul dispositivo infetto.

Dopo una lunga attesa, i ricercatori sono riusciti a ricevere un modulo di questo tipo e stabilire che la botnet veniva utilizzata per distribuire annunci pop-up malevoli fuori contesto, utilizzando un servizio di background che inizia a girare una volta che il dispositivo viene riavviato. Questi moduli possono contenere codici altamente dannosi per infettare il dispositivo, lanciare un attacco DDoS o anche contaminare reti private.

Due sono le ragioni principali per cui spesso i malware vengono mascherati da app di guide per i giochi. La prima è abbastanza ovvia: le guide per i giochi sono molto popolari tra gli utenti. il secondo motivo è che  questo tipo di applicazioni non sono complicate per sviluppare, rendendo questa una grande opportunità per i programmatori di malware per raggiungere migliaia di utenti con uno sforzo pari a zero.

Le botnet mobile sono in crescita sia dal punto di vista della sofisticazione sia dal punto di vista della diffusione.

Per questo motivo, si raccomanda agli utenti di essere molto prudenti nel dowloading dele applicazioni e si suggerisce l’adozione di sistema di protezione sui propri dispositivi mobili, pari a quello utilizzato sui computer PC.

Per approfondimenti: The Growing Threat of Mobile Device Security Breaches