Malware per i cellulari. Java 2 sotto attacco

Sembrava una storia già scritta quella dei malware per i dispositivi mobili. Tutto faceva pensare che sarebbe finita come per i pc con una variegata invasione di virus, worm e trojan, tra cui spyware, backdoor e adware.

Eppure, non sono solo gli economisti a sbagliare, ma a volte anche gli esperti di informatica non ci azzeccano. Così, se dal 2004 al 2006 le minacce per cellulari e affini sono cresciute in maniera vertiginosa l’attacco in massa non c’è stato. Lo racconta un documento di Kaspersky, società specializzata nella sicurezza che in un lungo documento descrive la storia e lo stato dell’arte della lotta contro i virus (permetteci il termine generico) sui cellulari.

L’inversione di tendenza è dovuta principalmente ai cambiamenti del mercato mobile. Due anni fa c’era il leader assoluto, Symbian (e quindi a Nokia) che era arrivato ad avere circa il 45&% del mercato.

Poi è arrivata Microsoft con Windows Mobile. Windows Mobile 5 supportata da molti dei principali produttori di telefoni. A questa versione è seguita la 6, e la pubblicazione del codice sorgente del sistema operativo. Risultato: oggi Windows Mobile è usato in circa il 15% degli smartphone in tutto il mondo e, in alcuni paesi è addirittura il sistema leader. Windows Mobile è stato concesso in licenza da Microsoft ai quattro maggiori produttori di telefoni cellulari (dopo Nokia), con un volume d’affari complessivo che raggiunge i 20 milioni di dispositivi l’anno.

Nel frattempo si è rafforzata anche Rim, BlackBerry, che è dotato di sistema operativo proprietario. Per questa piattaforma finora non è stato prodotto alcun malware, a esclusione del backdoor BBproxy, sviluppato per ricercare le vulnerabilità specifiche del dispositivo (http://www.praetoriang.net/presentations/blackjack.html).

Ma l’evento più importante e significativo degli ultimi anni è certamente rappresentato dall’uscita sul mercato dell’iPhone Apple. Basato su un sistema proprietario, la versione mobile di Mac Os X, questo telefono è rapidamente divenuto uno dei più venduti communicator al mondo. L’obiettivo dichiarato da Apple, ovvero vendere 10 milioni di dispositivi entro la fine del 2008, è stato raggiunto. A tutt’oggi sono stati venduti più di 21 milioni dei vari modelli di iPhone, e se a essi si aggiunge l’iPod Touch (l’iPhone senza telefono), la quantità complessiva di prodotti venduti raggiunge i 37 milioni di unità.

Se a ciò si aggiunge Android, il telefono su piattaforma Google in corso di lancio, che dispone di notevole potenzialità di utilizzo di applicazioni e servizi Google, si ottiene il quadro completo dell’indeterminatezza che affligge chiunque debba stabilire quale piattaforma vada usata come “base”.

Gli autori di virus, però, sono riusciti a trovare la soluzione al problema della scelta della piattaforma-obiettivo. Dopo aver abbandonato il lavoro sulle singole piattaforme, i malintenzionati hanno infatti rivolto la propria attenzione a Java 2 Micro Edition.

Praticamente tutti i cellulari moderni (per non parlare degli smartphone), infatti, supportano Java e permettono di utilizzarne applicazioni scaricabili da Internet. Dedicandosi alla realizzazione di applicazioni malware Java, gli autori di virus non solo sono riusciti a superare i limiti delle singole piattaforme, ma addirittura ad aumentare sensibilmente la “zona di infezione” minacciando infatti non soltanto gli utilizzatori di smartphone, ma praticamente tutti gli utenti di normale telefonia mobile.

A fine agosto 2006 esistevano 31 famiglie e 170 modifiche. A metà agosto di quest’anno avevamo isolato 106 famiglie e 514 varianti di oggetti identificati per telefoni cellulari. Secondo questi dati, in tre anni il quantitativo di oggetti dannosi per telefoni cellulari individuati è aumentato del 202%. Il numero di famiglie di prodotti è aumentato del 235%.

Dal 2006 al 2009 il numero dei malware per cellulari si è triplicato. Ciò significa che la tempistica di crescita rilevata durante il “primo stadio” (2004-2006) è rimasta inalterata.

Quali sono le novità?
Tre anni fa il nostro elenco delle potenziali azioni dannose dei malware mobili comprendeva:

• Diffusione attraverso Bluetooth e Mms


• Invio di Sms


• Contagio di file


• Controllo a distanza dello smartphone


• Modifica o sostituzione di icone e applicazioni di sistema


• Installazione di font o applicazioni “falsi” o erronei (non operativi)


• Lotta agli antivirus


• Installazione di altri programmi dannosi


• Blocco del funzionamento della scheda di memoria


• Furto di dati e informazioni

Nel corso degli ultimi tre anni, nel mondo dei programmi dannosi per cellulari sono apparse nuove tecnologie e nuovi impieghi:

• Diffusione per mezzo delle unità di memoria mobili (schede flash)


• Corruzione dei dati dell’utente


• Disattivazione delle difese interne del sistema operativo


• Scaricamento di file da Internet


• Chiamate a numeri a pagamento


• Polimorfismo

Tecniche e metodi
Un numero considerevole di programmi dannosi per personal computer utilizza tecniche di auto-copiatura sulle memorie di massa (dischi o penne Usb). Questo primitivo metodo di diffusione si è dimostrato, purtroppo, estremamente efficace.

E gli autori di virus mobili hanno pensato bene di seguire la “moda” e di utilizzare questo metodo anche nei propri malware. Un esempio di malware di questo tipo è Worm.WinCE.InfoJack, che esegue copie di se stesso sui dischi E:. Negli smartphone su cui è installato il sistema operativo Windows Mobile, tale lettera indica la scheda di memoria del telefono.

Oltre al metodo di diffusione, il worm InfoJack ha alcune interessanti peculiarità. Innanzitutto, il malware si riproduce nei file di installazione .cab nei quali, oltre alle sue copie, si trovano applicazioni e giochi perfettamente legali. È evidente che tale metodo viene utilizzato anche per mascherare le attività del malware. In secondo luogo, InfoJack disattiva la verifica della firma digitale delle applicazioni (uno dei meccanismi di difesa di Windows Mobile). In tal modo, il sistema operativo non emette alcun avviso in merito all’assenza della firma qualora l’utente tenti di installare un’applicazione che ne sia priva (e quindi potenzialmente dannosa). Inoltre, quando lo smartphone si collega a Internet, il worm prova a scaricare dalla rete ulteriori moduli aggiuntivi di lavoro. In altre parole InfoJack svolge anche la funzione di downloader. E come ciliegina sulla torta aggiungiamo l’ultima caratteristica: l’invio dei dati personali dell’utente dello smartphone al mittente del malware.

Quindi, riassumendo, cos’è Infojack? È un malware in grado di duplicarsi, scaricare file da Internet, disattivare le soluzioni di difesa del sistema operativo e spiare la vittima; e in più ha anche un sistema di mascheramento niente male.

Anche il worm Worm.WinCE.PMCryptic.a potrebbe essere un esempio di worm che si copia su scheda di memoria. In realtà però è un’altra peculiarità a renderlo unico: è il primo worm polimorfo/companion virus [http://www.securelist.com/ru/glossary?glossid=151519206] per smartphone! Questo worm cinese non è stato ancora colto in flagrante, ma si dispone solo di “prove della sua possibile esistenza”. E tuttavia, anche la sola possibilità che esistano malware polimorfi per smartphone non promette nulla di buono.

Anche i diversi tipi di hack trojan piuttosto primitivi, che corrompono o distruggono i dati personali dell’utente presenti sullo smartphone, hanno causato diversi problemi agli utenti di dispositivi di questo tipo. Uno di loro è Trojan.SymbOS.Delcon.a. Si tratta di un trojan per smartphone che usano il sistema operativo Symbian la cui dimensione è di soli 676 byte! Dopo l’inizializzazione del file sis, il file contacts.pdb, che contiene tutti i contatti dell’utente, viene sovrascritto da un file con lo stesso nome generato dal malware. Il file contacts.pdb del malware contiene il seguente testo:

“If you have installed this program you are really stupid man 😀
Series60 is only for professionals…(c)
by KoS. 2006 ))”

“Se hai installato questo programma, allora sei proprio un’idiota 😀
Series60 è solo per i professionisti…(c)
KoS. 2006 ))”

Prima della comparsa di not-a-virus:Porn-Dialer.SymbOS.Pornidal.a, che effettua chiamate a numeri internazionali a pagamento, programmi simili esistevano solo per i computer.

Il programma not-a-virus:Porn-Dialer.SymbOS.Pornidal.a opera nella seguente maniera: quando l’utente lancia il file .sis, viene visualizzato il testo di un accordo di licenza, nel quale si spiega che l’applicazione eseguirà chiamate su numeri internazionali a pagamento per garantire l’accesso completo a siti dal contenuto pornografico. I numeri chiamati sono di vari paesi sparsi per il mondo (4 paesi europei, 4 africani, 1 in Oceania).

La pericolosità intrinseca di programmi di questo tipo sta innanzitutto nel fatto che il programma potrebbe essere modificato dai criminali informatici in modo tale da renderlo pericoloso ed essere utilizzato per ottenere introiti illeciti. Basterebbe, ad esempio, togliere dall’accordo di licenza il testo che avvisa che le chiamate vengono effettuate su numeri a pagamento. In secondo luogo, la maggioranza degli utenti legge distrattamente gli accordi di licenza e spesso li accetta in automatico. A causa di ciò gli utenti spesso ignorano la funzione dell’applicazione stessa (in questo caso – chiamate a numeri a pagamento).

Trojan-Sms: la minaccia più grave
Confrontando il comportamento dei malware degli ultimi due anni con quelli che li hanno preceduti, risulta chiaro che a dominare in quanto a gravità è l’invio di SMS su diversi numeri a pagamento all’insaputa e senza l’autorizzazione del’utente. Se tre anni fa questo tipo di funzione era presente solo in due famiglie di malware, oggi la si trova in ben 32 famiglie! L’invio di SMS è presente in circa il 35% di tutte le varianti conosciute di malware per cellulari/smartphone. Ciò significa che i trojan-SMS sono i leader dei malware mobili. La causa di tale situazione è descritta nel resoconto analitico sulla crescita delle minacce nel primo semestre del 2008: http://www.securelist.com/ru/analysis?pubid=204007623#mb

Descrizione del funzionamento
La piattaforma principale per l’azione dei trojan-Sms è Java 2 Micro Edition. I trojan-Sms scritti per funzionare con J2Me sono pericolosi in quanto cross-platform. Se in un cellulare (anche un comune cellulare, non necessariamente uno smartphone) è presente una Java Machine, allora Trojan-Sms.J2Me può funzionare su quel telefono senza problema alcuno.

La maggior parte dei trojan J2Me ha la seguente struttura: un archivio .jar che racchiude diverse classi di file, una delle quali effettua l’invio degli Sms al numero a pagamento. Le altre classi di file hanno finalità esclusivamente mimetiche. All’interno dell’archivio possono trovarsi anche alcune immagini (in gran parte a contenuto erotico) e perfino un file manifest, anch’esso in alcuni casi utilizzato dal malware per diffondere i programmi dannosi.

Poco dopo il lancio, Trojan-Sms.J2Me tenta di mandare un Sms con un testo specifico a un numero a pagamento. La Java machine in questi casi avverte l’utente, con un messaggio, che l’applicazione sta tentando di mandare un Sms. Ciò potrebbe insospettire l’utente, che quindi potrebbe rifiutare l’invio. Alcuni autori di virus per ovviare a questo problema hanno iniziato ad adottare metodi di mascheratura più elaborati per i comportamenti dannosi dei loro prodotti, talvolta con soluzioni davvero originali.

Ad esempio Trojan-Sms.J2Me.Swapi.g dopo il lancio mostra sul display del telefono un messaggio che propone di visualizzare un’immagine pornografica. Per accettare è necessario premere il tasto di conferma quando viene udito un apposito segnale acustico (negli archivi jar i programmi spesso vengono nascosti in file png con immagini e melodie mid). Mentre cerca di premere il tasto al momento giusto, l’utente non si rende conto che a ogni pressione (che sia al momento “giusto” oppure no) causa l’invio di un Sms al numero a pagamento con relativo addebito della somma sul proprio conto.

Ecco il testo di uno dei siti in cui i criminali informatici offrono i loro servizi di produzione di programmi dannosi, naturalmente a pagamento: “Programma molto redditizio, offerto sotto forma di album fotografico. Al momento del lancio viene visualizzata una gradevole immagine e appare il testo ‘Per proseguire devi avere 18 anni. Hai 18 anni?’. Se l’utente preme “Sì” verrà inviato un Sms a un numero a pagamento…”.

I programmi della famiglia Trojan-Sms.Python.Flocker, anche se sviluppati su un’altra piattaforma (Python), per struttura e funzioni sono praticamente identici ai trojan J2Me. Nell’archivio sis è presente uno script di base, scritto in linguaggio Python, che invia un Sms a un numero a pagamento, più altri file aggiuntivi che servono da copertura per le attività principali del malware.

Tra le diverse varianti di Flocker non c’è praticamente alcuna differenza (in pratica l’unica cosa che cambia è il numero breve a cui viene inviato l’Sms). Ciò sembra indicare che i codici sorgente dello script, utilizzati da questa famiglia di malware, probabilmente provengono dal medesimo punto di accesso pubblico. Questa ipotesi è stata confermata. In uno dei forum pubblici è stato depositato uno script in linguaggio Python, e alcuni suoi frammenti erano identici agli script dei malware a noi già noti. Inoltre, è interessante notare che tale script scaricabile era anche in grado di infettarne altri in Python presenti all’interno del telefono.