Colpiti da un ransomware senza nemmeno dare l’autorizzazione per l’installazione dell’app. Come spiegato da Blue Coat Labs, la nuova falla di sicurezza colpisce i dispositivi Android 4.x e segna un salto di qualità nei malware per dispositivi mobili.
Il caso riportato sfrutta un Javascript inserito in un banner pubblicitario all’interno di un sito, attraverso il quale i cyber-criminali hanno la possibilità di effettuare il root del dispositivo e avviare l’installazione del ransomware Dogspectus.
Nella versione analizzata, il ransomware utilizza uno degli exploit diventati pubblici con la diffusione dei dati sottratti nel luglio 2015 alla società milanese di spionaggio informatico Hacking Team, ma secondo gli analisti di Blue Coat Labs, la tipologia di device infettati indicherebbe che abbia sfruttato anche altre tecniche di diffusione.
Se le modalità di attacco rappresenta qualcosa di inedito, il ransomware in sé utilizza tecniche piuttosto datate e, in particolare, non usa un sistema per la crittografia dei dati personali.
Si tratta infatti di una semplice app che blocca il sistema, impedendo al proprietario del dispositivo qualsiasi attività diversa dal pagamento del riscatto (200 dollari) richiesto per lo sblocco.
Una volta installato, Dogspectus visualizza una schermata di blocco in cui campeggia un messaggio firmato "American national security agency" e che avvisa l’utente del blocco del dispositivo per non meglio specificate attività illegali, con tanto di countdown per lo sblocco che richiede, ovviamente, un pagamento online.
Le modalità di pagamento, però, rasentano l’assurdo: il ransomware infatti non richiede un pagamento in Bitcoin o attraverso altri strumenti anonimi, ma l’utilizzo di carte regalo iTunes.
Un metodo che permetterebbe ad Apple di rintracciare abbastanza facilmente i cyber-criminali una volta che avessero incassato il "riscatto". Ovviamente, l’idea di chi ha creato il malware è quella di rivendere le carte al mercato grigio o su eBay, ma restano dei dubbi sull’efficacia di questa tecnica rispetto al classico riscatto in bitcoin.
Anche l’efficacia del blocco, da un punto di vista tecnico, lascia piuttosto a desiderare. Per rimuoverlo è sufficiente ripristinare il dispositivo alle condizioni di fabbrica e il recupero dei dati può avvenire tranquillamente attraverso il backup nella cloud o addirittura collegando il device al computer per copiarne il contenuto.
Le carenze tecniche dei pirati informatici sono compensate, per lo meno, da un discreto senso dell’umorismo. La schermata che visualizza i dettagli sulle modalità di pagamento, infatti, comprende una sezione intitolata "Evitare le truffe" in cui si può leggere "Ricorda: se qualcuno ti chiede di comprare una carta regalo iTunes, è un imbroglio … usa solo partner approvati da Apple". Come la "American Nation Security Agency"?