Ransomware sui dispositivi mobili: una minaccia concreta

I malware rivolti ai dispositivi mobili sono in costante aumento. Nell’articolo di oggi parleremo delle principali famiglie di ransomware, proporremo alcune statistiche e suggerimenti per difendersi.

Ransomware mobile

La settimana scorsa abbiamo parlato dei ransomware che colpiscono i computer, davvero una spina nel fianco. Tuttavia i ransomware non si trovano solo sui computer, ma anche sui dispositivi mobili, anzi è una tendenza in continua crescita.

Quest’oggi parleremo dei principali tipi di ransomware mobile, aiutandoci con alcuni dati ottenuti dalle nostre soluzioni di sicurezza.

Cosa sono i ransomware mobile?

In molti sanno ormai cosa sia un ransomware e sempre più persone si sta informando sull’argomento. Il ransomware per computer più diffuso (e fastidioso) è il cryptolocker, un malware che cifra i dati, che possono essere recuperati pagando un riscatto. Il blocker, come dice la parola stessa, blocca i browser e i sistema operativi, ai quali si potrà accedere nuovamente sempre pagando un riscatto. I blocker sono meno diffusi rispetto ai cryptoransomware, sopratuttto perché quest’ultimi sono più efficaci e sono una miniera d’oro per i cybercriminali.

Nel mondo dei dispositivi mobili, la situazione è inversa: praticamente non esistono cryptolocker per dispositivi Android in quanto le app e il sistema operativo effettuano il backup su cloud. Se gli utenti eseguono il backup dei file, non c’è bisogno di pagare un riscatto, per questo i cybercriminali non hanno stimolo ad attaccare gli utenti Android.

I blocker, invece, sono il principale metodo d’infezione dei dispositivi Android. Non fanno altro che sovrapporsi all’interfaccia di qualsiasi app e l’utente non riesce più ad utilizzarle. Su PC è abbastanza facile sbarazzarsi di un blocker, bisogna soltanto staccare l’hard disk, collegarlo a un altro computer e cancellare i file del blocker. Non è così semplice su uno smartphone, l’hard disk è saldato alla scheda madre, per questo motivo i blocker rappresentano il 99% dei ransomware mobile sul “mercato”.

Piccoli grandi protagonisti

Nel 2014-2015, la scena dei ransomware mobile è stata dominata da 4 attori principali: Svpeng, Pletor, Small e Fusob. Ultimamente Pletor sembra quasi uscito di scena: i suoi creatori hanno lanciato l’insidioso Trojan Acecard e si stanno concentrando soprattutto su questo “progetto”. Anche gli sviluppatori di Svpeng si stanno spostando verso altro, in particolare nel perfezionare la versione bancaria del Trojan. Rimangono solo due grandi famiglie di ransomware mobile, Small e Fusob. In quest’anno in corso (2015-2016) costituiscono oltre il 93% dei ransomware rivolti a dispositivi mobili.

mob-ransomware-chart

Vale la pena sottolineare che queste due famiglie hanno molto in comune. Entrambe mostrano false schermate che sembrano appartenere ad autorità ufficiali e che accusano le vittime di un qualche crimine; l’utente potrà evitare le vie legali solo pagando il riscatto.

Fusob e Small propongono metodi di pagamento piuttosto singolari: Fusob suggerisce un pagamento mediante carte regalo di iTunes, mentre Small offre alle vittime l’opzione di pagare mediante il sistema Kiwi o con voucher xpress di MoneyPak. È probabile che entrambi i ransomware siano stati creati da gruppi di cybercriminali di lingua russa, anche se hanno adottato metodologie diverse.

Fusob innanzitutto identifica la lingua del dispositivo e, se si tratta di una delle lingue delle repubbliche post sovietiche, non fa assolutamente nulla. Altrimenti, verrà visualizzata una schermata che sembra provenire dall’NSA dove si chiede all’utente un riscatto, di solito tra i 100 e i 200 dollari. La maggior parte delle vittime di Fusob (oltre il 41%) vive in Germania, al secondo e terzo posto ci sono Regno Unito e Stati Uniti, rispettivamente con il 14,5 e l’11,4%.

small-fusob

Parliamo ora della famiglia Small. Quasi il 99% delle sue vittime si trova in 3 dei paesi che Fusob invece evita: Russia, Kazakistan e Ucraina. Il ransomware mostra una schermata appartenente a un qualche ente governativo dove si elencano le istruzioni per il pagamento, la minaccia a cui sono sottoposti gli utenti e la somma, tra i 700 e i 3.500 rubli (tra i 10 e i 50 dollari), per sbloccare il dispositivo infetto. Esiste anche una versione in inglese di Small, con una schermata dell’FBI e una richiesta di riscatto di circa 300 dollari.

Ci sono anche altre due versioni di Small; una consiste in un cryptolocker che esegue le stesse azioni della versione originale e in più cifra i file presenti sulla scheda SD del dispositivo. La seconda versione è un Trojan multifunzione in grado di sottrarre denaro, dati e ovviamente bloccare il dispositivo.

Qual è la situazione e cosa bisogna aspettarsi

Abbiamo parlato dell’argomento in tempi non sospetti, quando i malware per dispositivi mobili non erano ancora un gran problema. Come avevamo previsto, questi malware hanno registrato una crescita esponenziale e il fenomeno non sembra arrestarsi. Tra il 2014 e l’anno in corso, gli attacchi malware a dispositivi mobili si sono addirittura quadruplicati!

Anche il numero delle vittime di questi attacchi è cresciuto, dal 2,04% al 4,63%, più del doppio. Lo scorso anno il principale obiettivo sono stati gli USA, un utente su 10 colpito da ransomware mobile apparteneva a questa nazionalità. Ora 2 vittime su 10 provengono da Germania e Canada, 1 vittima su 7 da Regno Unito, USA e Kazakistan e 1 su 10 da Italia e Olanda.

Prevediamo che il prossimo anno i malware mobile, e i ransomware in particolare, diventeranno ancor più popolari. Se v’interessa approfondire l’argomento, potete consultare un report più dettagliato su securelist.com.

Come proteggersi

  1. Installare applicazioni da store ufficiali come Google Play. Per evitare l’installazione di app provenienti da fonti sconosciute, assicurarsi che tra le impostazioni di Android non sia selezionata l’opzione corrispondente;
  2. Aggiornare regolarmente il firmware del dispositivo e delle app installate. È possibile eseguire l’aggiornamento automatico delle app, tuttavia il sistema deve essere aggiornato manualmente ed è importante farlo non appena si rende disponibile l’aggiornamento OTA (over-the-air) corrispondente;
  3. Installare una soluzione di sicurezza robusta. Anche se vengono installati tutti gli aggiornamenti possibili e scaricate le app solo dagli store ufficiali, non si è protetti al 100%. I malware si possono insinuare anche su Google Play e diffondersi come exploit kit mediante vulnerabilità non ancora note. Per evitare di diventare vittime dei ransomware mobile, consigliamo la versione completa di Kaspersky Internet Security for Android, in quanto si tratta dell’unica versione che monitora costantemente cosa accade sul dispositivo ed elimina le minacce nel momento in cui vengono individuate.
Consigli