Malware per i cellulari: anche gli Sms sono pericolosi

di
Luigi Ferro
-

Seconda parte dell’articolo di Kaspersky. Dove si racconta della popolarità degli Sms truffa

Sono proprio gli Sms, almeno per ora, l’unico modo in cui gli autori di virus mobili possono ottenere profitti illegali. Già nella metà del 2007, nel corso delle ricerche svolte dopo l’apparizione del primo trojan-Sms per Symbian (Viver), Kaspersky Lab ha indagato in modo approfondito sul sistema di finanziamento legato a questo malware . Tale schema, in linea di massima, è tuttora attuale e viene utilizzato da tutti i trojan-Sms.


Sms truffa
I malware per cellulari non rappresentano l’unica minaccia grave. Purtroppo anche gli Sms truffa sono divenuti molto popolari tra i criminali informatici, e la minaccia si è ormai da tempo estesa su scala internazionale.


Nel 2007 è stato pubblicato un annuncio ufficiale del ministero delle telecomunicazioni indiano in cui si parlava della crescita inarrestabile degli Sms di phishing nel paese e si prendeva in considerazione la possibilità di far chiudere gli operatori che gestiscono gli Sms, inviati dall’estero attraverso gateway Web. Nei messaggi truffa diffusi in India, l’utente veniva informato della necessità di chiamare un determinato numero e “confermare” alcuni dettagli della transazione. All’utente rispondeva una segreteria telefonica che richiedeva informazioni confidenziali e altri requisiti della transazione. Naturalmente la segreteria telefonica faceva parte della truffa.


In Russia i criminali informatici usano schemi e procedure diversi, che illustreremo più dettagliatamente.
Variante 1. Il malintenzionato prepara un SMS dal contenuto simile a questo: “Ciao, ho dei problemi ma non posso raccontarti tutto. Inviami dei soldi su questo numero oppure su +79xx-xxx-xx-xx, te li restituisco appena posso”. Si noti che i messaggi di questo tipo non contengono alcuna firma né si rivolgono in modo esplicito al destinatario, quindi qualsiasi utente potrebbe usarli per proprio tornaconto.



Naturalmente, chiamando uno dei due numeri indicati l’utente riceverà, come unica risposta, un messaggio del tipo “l’utente da lei chiamato non è al momento raggiungibile”. Dopo di che, l’utente stesso potrebbe pensare: “sarà mica successo qualcosa a uno dei miei amici o parenti?” e decidere di mandare dei soldi sul numero di cellulare del criminale.


Variante 2. Il secondo sistema utilizza SMS a pagamento ai numeri brevi . Il testo del messaggio ingannevole può essere di diversi tipi. Ad esempio: “Ciao, Manda un SMS con il testo *** al numero 3649, ti verranno accreditati 150 rubli sul cellulare! L’SMS è gratis, io l’ho provato e funziona”. Oppure: “Buongiorno! Il tuo numero ha vinto! Per ricevere il premio invia un SMS con il testo *** al numero 1171. Costo dell’SMS: 3 rubli”.


Caratteristiche principali degli attacchi di questo tipo:



  • 1. I criminali informatici utilizzano i numeri a pagamento più costosi.

  • 2. Gran parte dei messaggi offrono all’utente una “ricarica bonus” o un “premio”.

  • 3. Il messaggio non ha firma né si rivolge al destinatario in alcun modo.


È importante anche notare un fatto di non scarsa importanza, e cioè che tali messaggi vengono inviati non solo a chi ha un cellulare, ma anche a chi usa Icq. Inoltre, si riscontrano nella comune posta elettronica, nonché nei messaggi diffusi nei social network.


Vulnerabilità
All’inizio del 2009 è stata scoperta una nuova vulnerabilità negli smartphone che utilizzano l’ultima generazione del sistema operativo Symbian:



  • 1. S60 2nd edition, Feature Pack 2;

  • 2. S60 2nd edition, Feature Pack 3;

  • 3. S60 3rd edition;

  • 4. S60 3rd edition, Feature Pack 1.


Che cos’è questa vulnerabilità e come viene sfruttata? Se nel telefono gestito da uno dei sistemi operativi di cui sopra viene spedito un Sms con un contenuto e una struttura ben specifici, il telefono attaccato smette di ricevere e inviare gli Sms e gli Mms. L’Sms non viene visualizzato nell’elenco dei messaggi in arrivo.


Inoltre non rimangono tracce visibili dell’attacco. È per questo che è stato soprannominato “Curse of Silence” (“La maledizione del silenzio”).


Anche se il servizio Sms viene interrotto, le restanti funzionalità del telefono rimangono inalterate, quindi passa un po’ di tempo prima che l’utente si accorga che c’è qualcosa che non va nel proprio smartphone. Purtroppo né la cancellazione dei messaggi in ingresso e in uscita, né il riavvio del telefono possono risolvere il problema dell’impossibilità di ricevere/inviare Sms. L’hard-reset dello smartphone è l’unica cosa che in una certa misura aiuta.


Minacce per cellulari attive
Cabir e ComWar sono i malware che hanno riportato una diffusione maggiore: entrambi sono stati individuati in più di 30 paesi. L’evento che ha fatto più clamore è stata l’infezione, da parte di una delle varianti di ComwWar, di più di 115 mila utenti in Spagna la scorsa primavera.


Ma la maggiore attenzione rivolta dagli operatori di telefonia mobile all’apparizione di worm e allo sviluppo di tecniche di controllo antivirus applicabili al traffico Mms ha permesso di arrestarne la crescita. Tuttavia, nel corso degli ultimi tre anni è venuto alla luce almeno un nuovo worm che potrebbe diffondersi in diversi paesi d’Europa.


Worm.SymbOS.Beselo
Alla fine di dicembre del 2007 nei database degli antivirus è apparso un nuovo clone di ComWar, la variante .y. Quando, nel 2008, si è inserito nel traffico di uno dei maggiori operatori di telefonia mobile europei, il worm ha iniziato a mostrare i segni distintivi di un’identità autonoma.


L’analisi svolta dall’azienda finlandese F-Secure ha rivelato che si trattava effettivamente di una famiglia completamente nuova, priva di radici in comune con il worm ComWar apparso tre anni prima in Russia.


Il suo principio operativo, identificato come Worm.SymbOS.Beselo.a (poco dopo ne apparve una nuova variante, Beselo.b), è molto simile a ComWar ed è un comportamento classico dei worm di questo tipo. La diffusione avviene attraverso l’invio di file Sis infetti via Mms e Bluetooth. Dopo l’installazione sul dispositivo infettato, il worm inizia a inviarsi ai vari numeri nella rubrica dello smartphone, nonché ai dispositivi che riesce a raggiungere nel raggio d’azione Bluetooth.


Fortunatamente è stato possibile arrestare la diffusione di Beselo piuttosto in fretta, e da quel momento non sono più stati individuati worm per cellulari in azione in Europa.


Ma nel frattempo sono scesi in campo i paesi asiatici con alla testa la patria d’origine della gran parte dei virus informatici di oggi: la Cina.


Worm.WinCE.InfoJack
All’inizio del 2008 sono iniziate a circolare notizie di infezioni da parte di un malware sconosciuto, che operava su Windows Mobile. Si trattava del trojan InfoJack.a, menzionato in precedenza.


La diffusione di questo malware ha avuto origine da uno dei siti cinesi di distribuzione (legale) di software di vario tipo. Il trojan è stato incluso nei kit di distribuzione di prodotti per telefoni cellulari, ad esempio client per Google Maps e giochi. I responsabili del sito da cui ha iniziato a diffondersi il trojan hanno comunicato che il programma non aveva intenti criminosi e si limitava a raccogliere informazioni sugli utenti al fine di migliorare il servizio e analizzare il mercato delle applicazioni per cellulari.


Dopo alcuni giorni il sito ha chiuso i battenti, probabilmente in seguito a indagini svolte dalla polizia cinese.


Da quel momento in poi il bersaglio principale degli hacker cinesi sono divenuti gli utenti di cellulari e giochi on-line. Tuttavia il caso InfoJack mostra come in Cina sussista l’effettiva possibilità che si diffonda un’epidemia di virus per cellulari.


La Cina è divenuto così il paese maggiormente colpito dal trojan di Windows Mobile. Probabilmente l’autore di InfoJack non aveva davvero intenzioni criminose, ma di fatto il suo lavoro ha spianato la strada a…


Worm.SymbOS.Yxe
Dopo circa un anno, a gennaio 2009, abbiamo individuato un malware per cellulari che funzionava su dispositivi con sistema operativo Symbian. Inizialmente si pensava che non potesse portare nulla di nuovo o interessante, ma non è stato così.


Worm.SymbOS.Yxe è stato il primo di una nuova famiglia di worm Symbian che non si vedeva da parecchio tempo. Si differenzia dai suoi predecessori nella modalità di diffusione: non mediante Bluetooth, né attraverso gli MMS, ma sfruttando gli SMS!


Worm.SymbOS.Yxe invia un SMS (dal contenuto molto frivolo) con un link all’interno (http://www*****.com/game) a tutti i contatti del telefono infettato. Nel link indicato si trova un programma d’installazione in Symbian con due file all’interno: il file eseguibile (.exe) e il file secondario rsc. Se l’utente accetta di installare l’applicazione, poco dopo il worm inizia a inviare SMS agli utenti nella lista contatti del telefono infettato, generando in tal modo un traffico di SMS maligni.


A ben vedere è stato proprio il worm Worm.SymbOS.Yxe l’origine del notevole numero di articoli pubblicati in Cina, nonché l’argomento di molte discussioni sui forum cinesi, dei reclami dovuti agli Sms incomprensibili e così via. Nelle pubblicazioni si parlava di messaggi SMS dal contenuto pornografico con link non chiari, invio non autorizzato di messaggi a tutto l’elenco contatti e perdita di credito dal cellulare a seguito dell’invio degli Sms.


Ma questo worm è riuscito a distinguersi in altro modo: come il primo ad essere sviluppato per gli smartphone con sistema operativo Symbian S60 3rd edition che dispone di un certificato con firma perfettamente legale. Di conseguenza può installarsi praticamente su qualsiasi smartphone con sistema operativo Symbian S60 3rd edition.


Il fatto più interessante è che il certificato, a giudicare dalla firma, ha 10 anni. Siamo riusciti a stabilire che il malware ha ricevuto la certificazione grazie a una procedura di firma automatica.


Trojan-SMS.Python.Flocker
Gennaio 2009 è stato un mese molto ricco dal punto di vista delle apparizioni di nuove famiglie di malware per cellulari. Oltre al summenzionato wormYxe e all’exploit Curse of Silence per gli smartphone con sistema operativo Symbian, abbiamo isolato alcune nuove versioni di Trojan-Sms.Python.Flocker (ab-af).


Cosa hanno di speciale le sei nuove varianti di questa famiglia? Dal momento della loro comparsa, tutte le varianti da noi registrate dei programmi denominati trojan-Sms sono state sviluppate in territorio post-sovietico, e gli Sms vengono inviati a numeri appartenenti a operatori mobili russi.


Tutte le nuove varianti di Flocker inviano Sms al numero a pagamento 151, che non è registrato in Russia. Inoltre, fino a questo punto non erano mai stati rilevati Sms inviati a numeri a pagamento a tre cifre. Anche il testo del messaggio ha le sue peculiarità: TP <12 cifre> <4 o 5 cifre>.


Di cosa si tratta? Di malware che inviano Sms allo stesso numero breve con testi simili. Viene spontaneo porsi la solita domanda: e i soldi?


Molto tempo prima dell’isolamento della nuova versione di Flocker è stato pubblicato un comunicato stampa da parte di uno degli operatori di telefonia mobile indonesiani, nel quale si annunciava che i possessori di alcune specifiche Sim potevano trasferire parte del proprio credito sul conto di amici/parenti/conoscenti con lo stesso tipo di carta Sim. Per eseguire l’operazione è necessario inviare un messaggio al numero 151 con il seguente testo: Tp <numero dell’abbonato> <importo totale bonifico in rupie>.


Tale opportunità è stata sfruttata dai truffatori, e i trojan, di origine russa, sono stati modificati per essere usati dagli operatori di rete mobile indonesiani e diffusi tra gli utenti indonesiani.


Conclusioni
La popolarità degli smartphone (usati sempre più di frequente per lavoro, per l’accesso a Internet, per operazioni bancarie, per il pagamento di merci e servizi) ha fatto aumentare il numero di truffatori che desiderano sfruttarli.


I malware moderni sono in grado di eseguire molte operazioni: conservare e spedire i dati contenuti nella rubrica telefonica e altre informazioni, bloccare completamente il dispositivo, permettere l’accesso remoto ai criminali informatici, spedire Sms e Mms ecc. Nelle imprese, a usare gli smartphone sono coloro che lavorano da casa o si trovano in trasferta. Anche la semplice messa fuori uso del telefono (a causa dell’attacco di un malware) è di per sé un problema serio in questi casi. E se i cybercriminali riescono a ottenere l’accesso alla rete aziendale (o al sistema di posta elettronica), l’impresa corre grossi rischi.


Per quanto riguarda l’iPhone (4% del mercato mondiale dei telefoni cellulari e 20% di quello americano) e Android, i rischi di attacco da parte di malware sono piuttosto diversi tra le due piattaforme. Per quanto riguarda l’iPhone, vi è rischio d’infezione solo se l’utente installa applicazioni di provenienza non ufficiale. Android (probabilmente) non svilupperà mai un legame sufficientemente forte con i fornitori ufficiali di file e pertanto i possessori “legali” di telefoni di questo tipo potranno installare sul proprio dispositivo tutto ciò che fa loro comodo.


In ogni caso è ancora troppo presto per parlare di come si evolveranno i malware per iPhone e Android. A nostro parere, il rischio principale per queste piattaforme sarà rappresentato dalle vulnerabilità del software utilizzato e dalla possibilità di accesso che tali vulnerabilità offrono ai criminali.


Attualmente assume molta rilevanza l’inizio dello scontro commerciale tra netbook e smartbook. La differenza tra i primi e i secondi sta nel fatto che gli smartbook sono stati sviluppati su un’architettura completamente diversa: quella di un cellulare analogico. Secondo gli esperti del settore, il 98% dei processori per dispositivi mobili, ivi incluso Apple iPhone, si basa sull’architettura di processori Arm.


Nelle intenzioni dei suoi inventori, lo smartbook dovrebbe riunire le caratteristiche migliori del netbook e dello smartphone: utilizzo di una tastiera vera e propria, display più grande, leggerezza e grande autonomia di lavoro. E il vantaggio principale è che la piattaforma supporta tutte le reti mobili e gli smartbook dispongono, di serie, di modem incorporati nel processore. Ciò garantisce un accesso più facile e trasparente ai servizi mobili e ai programmi nella shell.


D’altra parte, Intel sta cercando di realizzare un mercato per dispositivi di telefonia mobile che usano il processore proprietario Atom. Alla fine di quest’anno i processori Atom verranno immessi sul mercato sotto forma di sistemi System-on-a-Chip (SoC). In pratica ciò significa che la ben nota grande quantità di programmatori che lavorano su architetture di microprocessori x86 potrà lavorare su dispositivi di ogni tipo: chip per automobili, chip per frigoriferi e forni a microonde, aspirapolvere, macchine da caffè e quant’altro.


Tutti questi fattori, oltre all’atteso scontro tecnologico, potrebbero stravolgere completamente la situazione attuale. Gli smartbook potrebbero sembrare prede più appetibili per gli attacchi mediante virus rispetto agli smartphone. Ma allo stesso tempo, l’ingresso dei processori x86 nel mondo degli elettrodomestici potrebbe aumentare la scala delle aree potenzialmente attaccabili, portandola a un livello senza precedenti.




LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome