Gli esperti dei FortiGuard Labs di Fortinet hanno registrato una preoccupante crescita del malware cosiddetto "ransomware", da "ransom" che significa riscatto. Il dispositivo infettato viene bloccato e il codice maligno chiede di pagare un riscatto al proprietario per "liberarlo".
Questo tipo di malware è nato anni fa per i pc e veniva annidato soprattutto nella pubblicità sui siti pornografici, bloccando il computer su una videata alquanto esplicita e, per taluni, imbarazzante. Il successo è stato notevole, visto il propagarsi.
I tecnici di Fortinet ne hanno verificato la crescita costante: "Quest'anno le minacce ransomware per i dispositivi mobili sono state consistenti, dall'introduzione della prima variante che ha preso di mira i dispositivi iOS, alla prima variante per Android che crittografa i dati del dispositivo", afferma Ruchna Nigam, Security Researcher dei FortiGuard Labs di Fortinet.
Un ricatto con i ransomware
Sono quattro i mobile ransomware scoperti recentemente dagli esperti dei FortiGuard Labs: Simplocker, Cryptolocker, iCloud "Oleg Pliss" e FakeDefend.
Il primo è stato identificato giugno 2014. Si presenta come applicazione Trojan, per esempio in file Flash Player. Si tratta del primo "vero" ransomware per Android, nel senso che crittografa realmente i file (con estensione jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp e mp4) sul telefono.
Un avviso sullo schermo che indica che il telefono è bloccato e che per sbloccarlo è necessario effettuare un pagamento. Anche dopo la disinstallazione dell'applicazione in modalità provvisoria, i file devono essere decrittografati.
Cryptolocker, scoperto a maggio 2014, viene camuffato come un'applicazione BaDoink per scaricare video. Anche se il malware non causa danni ai dati del telefono, visualizza una schermata di blocco ad opera della polizia locale, personalizzato in base alla geolocalizzazione dell'utente finale.
Il blocco dello schermo viene lanciato ogni 5 secondi rendendo difficoltoso il funzionamento del dispositivo senza la disinstallazione del malware.
Il terzo è iCloud "Oleg Pliss", scoperto anch'esso a maggio 2014 ed è il primo caso segnalato di ransomware per dispositivi Apple. In effetti non si tratta di un malware vero e proprio, perché gli attacchi avvengono tramite account iCloud compromessi in combinazione con alcune tecniche di social engineering.
Gli esperti ipotizzano che gli autori degli attacchi sfruttino la funzionalità "Trova il mio..." iPhone, iPad o Mac di Apple, unitamente a password riciclate ottenute tramite violazioni delle password.
L'attacco, tuttavia, non funziona se il dispositivo ha già un codice di accesso impostato (blocco del telefono). Il malware potenzialmente può violare informazioni relative a calendario e contatti e consentire all'autore dell'attacco di eliminare informazioni dal telefono.
Infine, FakeDefend è il più vecchio, scoperto a luglio 2013, e prende di mira i dispositivi Android. Si presenta come un'applicazione antivirus contraffatta che invita l'utente finale a pagare una sottoscrizione completa dopo avere eseguito una falsa scansione e avere mostrato un elenco di "infezioni" hard-coded individuate sul telefono.
Se l'utente decide di pagare la somma, i dettagli della carta di credito forniti vengono trasmessi al server dell'autore dell'attacco in forma di testo normale. I dettagli rubati della carta di credito possono essere usati successivamente per transazioni illecite.
Nigam sottolinea che la diffusione dei dispositivi mobili rende sempre più conveniente sviluppare malware che prende di mira tali apparecchi. C'è un ulteriore vantaggio, rappresentato dalla minore consapevolezza dei rischi che hanno gli utenti di dispositivi mobili, rispetto ai "vecchi lupi di mare della navigazione da pc".
Sempre l'esperto dei Fortiguard Labs fornisce inoltre tre suggerimenti per evitare questi tipi di infezioni:
- La presenza di un antivirus sul dispositivo generalmente previene l'installazione di applicazioni infette o mette in guardia da questo tipo di installazioni.
- Si consiglia di installare applicazioni da fonti e sviluppatori affidabili. In caso contrario, i commenti degli utenti possono aiutare a valutare la legittimità di un'applicazione.
- Gli utenti di iPhone e iPad devono attivare e impostare il codice di accesso sui loro dispositivi. Questo impone l'uso di tale codice di accesso per l'attivazione della funzionalità Trova il mio iPhone, rendendo pertanto inefficace il su presentato attacco ransomware.