Fortinet mette in guardia gli utenti contro i sistemi di “ransomware mobile”, tipologie di attacco specifiche che hanno registrato una crescita costante in tutto il mondo negli ultimi mesi. Si tratta di un malware capace di limitare l’uso del dispositivo infettato e di richiedere un riscatto all’utente finale per poterne riprendere il controllo. Secondo le tendenze analizzate dagli esperti, se fino a poco tempo fa il ransomware aveva preso di mira i computer, in tempi più recenti i dispositivi mobili si sono dimostrati più suscettibili a questo tipo di attacchi.
Ruchna Nigam, Security Researcher dei FortiGuard Labs di Fortinet
Quest’anno le minacce ransomware per i dispositivi mobili sono state consistenti, dall’introduzione della prima variante che ha preso di mira i dispositivi iOS, alla prima variante per Android che crittografa i dati del dispositivo.
Visto che i dispositivi mobili sono sempre più diffusi, gli hacker hanno trovato nei device portatili un nuovo vettore per guadagnare denaro, oltre ai tradizionali PC. Gli utenti devono prestare più attenzione alla sicurezza dei propri dispositivi mobile e prendere provvedimenti per evitare che questi diventino mezzi per rubare denaro e informazioni.
In questo senso è opportuno installare un antivirus sul dispositivo, una pratica che, generalmente, previene l’installazione di applicazioni infette o mette in guardia da questo tipo di installazioni. Non solo, si consiglia di installare applicazioni da fonti e sviluppatori affidabili. In caso contrario, i commenti degli utenti possono aiutare a valutare la legittimità di un’applicazione. In aggiunta, gli utenti di iPhone e iPad devono attivare e impostare il codice di accesso sui loro dispositivi. Questo impone l’uso di tale codice di accesso per l’attivazione della funzionalità Trova il mio iPhone, rendendo pertanto inefficace il suddetto attacco ransomware.
Ecco i quattro mobile ransomware scoperti recentemente dai FortiGuard Labs:
Simplocker, scoperto a giugno 2014, si presenta come applicazione Trojan, ad esempio come un Flash Player. Si tratta del primo “vero” ransomware per Android, nel senso che crittografa realmente i file (con estensione “jpeg”, “jpg”, “png”, “bmp”, “gif”, “pdf”, “doc”, “docx”, “txt”, “avi”, “mkv”, “3gp” e “mp4”) sul telefono. I dispositivi infetti vengono bloccati, con un avviso sullo schermo che indica che il telefono è bloccato e che per sbloccarlo è necessario effettuare un pagamento. Anche dopo la disinstallazione dell’applicazione in modalità provvisoria, i file devono essere decrittografati.
Cryptolocker, scoperto a maggio 2014, viene contraffatto come un’applicazione BaDoink per scaricare video. Anche se il malware non causa danni ai dati del telefono, visualizza una schermata di blocco ad opera della polizia locale, personalizzato in base alla geolocalizzazione dell’utente finale. Il blocco dello schermo viene lanciato ogni 5 secondi rendendo difficoltoso il funzionamento del dispositivo senza la disinstallazione del malware.
iCloud “Oleg Pliss”, scoperto a maggio 2014, è stato il primo caso segnalato di ransomware per dispositivi Apple. Questi attacchi non possono essere attribuiti a un malware particolare, ma ad account iCloud compromessi in combinazione con alcune tecniche di social engineering. Si pensa che gli autori degli attacchi sfruttino la funzionalità Trova il mio iPhone, iPad e Mac di Apple unitamente a password riciclate ottenute tramite violazioni delle password. L’attacco, tuttavia, non funziona se il dispositivo ha già un codice di accesso impostato (blocco del telefono). Il malware potenzialmente può violare informazioni relative a calendario e contatti e consentire all’autore dell’attacco di eliminare informazioni dal telefono.
FakeDefend, scoperto a luglio 2013, prende di mira i dispositivi Android. Si presenta come un’applicazione antivirus contraffatta che invita l’utente finale a pagare una sottoscrizione completa dopo avere eseguito una falsa scansione e avere mostrato un elenco di “infezioni” hard-coded individuate sul telefono. Se l’utente decide di pagare la somma, i dettagli della carta di credito forniti vengono trasmessi al server dell’autore dell’attacco in forma di testo normale. I dettagli rubati della carta di credito possono essere usati successivamente per transazioni illecite.