docmobile malware 6 DM IT 27022013
download 
Reclamo Transcript
mobile malware 6 DM IT 27022013
Virologia della telefonia mobile, Parte 6
Denis Maslennikov
Sommario
Introduzione .................................................................................................................................................. 1
Le statistiche.................................................................................................................................................. 3
I principali dati statistici relativi al 2012.................................................................................................... 3
I malware più diffusi per l’OS Android ...................................................................................................... 5
Le principali minacce IT per gli utenti mobile ............................................................................................... 6
Le botnet mobile ....................................................................................................................................... 6
A caccia di codici mTAN...........................................................................................................................10
I Trojan-SMS ............................................................................................................................................ 14
Gli incidenti virali dovuti a software dannosi presenti negli app store ufficiali ......................................15
Il cyber-spionaggio attraverso il malware mobile .......................................................................................17
FinSpy ......................................................................................................................................................18
L’operazione «Ottobre Rosso»................................................................................................................19
Conclusioni ..................................................................................................................................................23
Introduzione
E’ ormai trascorso quasi un anno dalla pubblicazione della Parte 5 del nostro consueto report
sull’evoluzione delle minacce informatiche specificamente «dedicate» ai dispositivi mobile. E’ giunto
pertanto il momento di tracciare un opportuno bilancio riguardo agli eventi che hanno maggiormente
segnato il panorama del malware mobile mondiale nel corso del 2012. Andremo quindi innanzitutto a
verificare se si siano avverate o meno le previsioni da noi fatte un anno fa in merito alla possibile
evoluzione delle minacce IT appositamente create dai virus writer per colpire smartphone, tablet ed altri
apparati mobile. Forniremo poi, attraverso il presente articolo, dettagliati dati statistici riguardanti gli
ultimi sviluppi del malware mobile, sia dal punto di vista quantitativo che qualitativo. Analizzeremo
inoltre le principali tendenze che, lungo tutto l’arco del 2012, hanno contrassegnato l’evoluzione dei
programmi malware per OS mobili, soffermandoci ad esaminare in dettaglio i principali attacchi
informatici realizzati attraverso di essi. Rilasceremo, infine, le nostre previsioni riguardo ai probabili
scenari che potranno delinearsi, nel corso del 2013, relativamente all’evoluzione del malware mobile e
degli attacchi informatici espressamente destinati ai dispositivi mobile.
Ma quali erano state le nostre specifiche previsioni per il 2012 in materia di virologia mobile?
Riassumendo brevemente, avevamo collocato in prima posizione un’ulteriore crescita del numero di
malware mobili preposti a colpire il sistema operativo Android, in quanto presupponevamo che gli
“sforzi” dei cybercriminali si sarebbero soprattutto concentrati sulla creazione di programmi nocivi per
la piattaforma mobile sviluppata da Google. Tale previsione ha trovato pieno riscontro nella realtà dei
fatti. Nel corso del 2012, i malintenzionati si sono difatti orientati quasi esclusivamente verso lo sviluppo
e la diffusione di programmi malware espressamente destinati all’OS Android.
Un anno fa, avevamo inoltre ipotizzato che, per attaccare i dispositivi mobili, i cybercriminali non si
sarebbero soltanto limitati ad utilizzare i root exploit appositamente creati per la piattaforma Android
(tali exploit consentono, di fatto, di acquisire i diritti di root sullo smartphone ed ottenere quindi il pieno
accesso al sistema operativo, grazie a privilegi di superutente); ci attendevamo, in effetti, l'esecuzione
dei primi attacchi di tipo drive-by, in cui gli exploit sarebbero stati impiegati per infettare direttamente
l’OS Android, sfruttando eventuali vulnerabilità individuate in tale sistema operativo. La nostra
previsione non si è però tramutata in realtà, verosimilmente per il fatto che - in questa precisa fase dello
sviluppo dei malware mobile specificamente «dedicati» alla piattaforma Android - i cybercriminali non
hanno strettamente bisogno di condurre attacchi del genere; in effetti, così come in passato, sono
purtroppo gli stessi utenti a generare in maniera del tutto «autonoma» il propagarsi di pericolose
infezioni informatiche sui propri dispositivi mobile.
Allo stesso modo, non si è avverata la previsione da noi fatta in merito alla probabile comparsa, nel
2012, dei primi worm di massa per Android, e più precisamente, di worm-SMS.
Avevamo ugualmente previsto un ulteriore aumento del numero degli incidenti virali dovuti ai
programmi malware diffusi attraverso i negozi ufficiali online di applicazioni per piattaforme mobile.
Tale previsione si è purtroppo realizzata. Oltre alla regolare comparsa di vari software dannosi
all’interno di Google Play (l’ex Android Market) - nella circostanza, il numero degli utenti-vittima è
generalmente oscillato da alcune decine a varie decine di migliaia - si è registrato anche il primo caso di
malware mobile per iOS - il sistema operativo sviluppato per i dispositivi mobile prodotti da Apple rilevato all’interno dell’App Store.
Si è pienamente avverata anche la nostra previsione relativamente alla comparsa, sulla scena del
malware, delle prime botnet mobile formate da dispositivi dotati di sistema operativo Android.
Sottolineiamo come tali reti-zombie abbiano evidenziato tratti distintivi piuttosto netti, riguardo alla
distribuzione geografica delle infezioni, al numero dei dispositivi mobile contagiati dal malware e alle
specifiche funzionalità di cui ogni botnet mobile è risultata essere provvista.
Tutte le previsioni sopra enunciate riguardavano esclusivamente Android, la piattaforma attualmente
più diffusa presso gli utenti mobile. Relativamente alle altre piattaforme e agli altri sistemi operativi
mobile presenti sul mercato, avevamo invece ipotizzato che la tendenza generale sarebbe diventata
quella di un utilizzo specifico del malware mobile sviluppato per colpire gli OS Symbian, Blackberry - e
via dicendo - per la conduzione di attacchi di tipo mirato. Un chiaro esempio di tale genere di assalti
informatici è rappresentato dagli attacchi eseguiti tramite il dispiegamento dei malware denominati
ZitMo e SpitMo (ZeuS- e SpyEye-in-the-Mobile). Anche tale previsione ha poi trovato pieno riscontro
nella realtà dei fatti. Evidenziamo come, alla «famiglia» dei malware preposti al furto dei codici segreti
mTAN, utilizzati per l'effettuazione delle transazioni bancarie (ZitMo e SpitMo), si sia aggiunto un
ulteriore elemento; gli autori di malware hanno difatti sviluppato la versione mobile di Carberp, altro
trojan bancario particolarmente diffuso: tale versione, secondo una «tradizione» ormai consolidata, ha
assunto una denominazione simile a quello di ZitMo e SpitMo, ovvero CitMo, contrazione di Carberp-inthe-Mobile.
Nel concludere la parte introduttiva del presente report sul fenomeno del mobile malware, rileviamo
infine come si siano pienamente realizzate due ulteriori previsioni a carattere generale da noi fatte
all’incirca un anno fa: esse inquadrano due aspetti di fondamentale importanza per ciò che riguarda
l’ulteriore evoluzione, nell’imminente futuro, degli attacchi informatici specificamente rivolti alle
piattaforme mobili. Evidenziamo, in primo luogo, come si sia di fatto già costituita, a livello mondiale,
una vera e propria «industria» del malware mobile. Sottolineiamo poi, in secondo luogo, come le
pratiche di spionaggio condotte attraverso i dispositivi mobile abbiano ormai superato gli iniziali confini
per esse previsti, ovvero un utilizzo esclusivamente riservato alle forze dell’ordine e a certe società
private operanti nel settore delle attività investigative.
Il presente articolo - costituito dalla Parte 6 del nostro consueto report sulla Virologia Mobile - è
dedicato all’esame dei principali eventi che hanno caratterizzato, nel corso del 2012, l’evoluzione dello
specifico segmento del malware appositamente sviluppato dai virus writer per attaccare i dispositivi
mobile.
Le statistiche
Come da tradizione, avviamo il nostro resoconto riportando i dati statistici raccolti ed elaborati dai
nostri esperti: tali dati ci permettono di inquadrare perfettamente la reale entità del repentino sviluppo
che, nel corso del 2012, ha avuto il malware mobile nel vasto e torbido panorama del cybercrimine
mondiale. Questa volta, il quadro generale relativo all’imperiosa crescita del numero di programmi
malware per piattaforme mobili e alle dinamiche che hanno caratterizzato la comparsa sulla scena di tali
software nocivi - quadro riguardante altresì la ripartizione del malware mobile in relazione alle varie
piattaforme sottoposte ad attacco e agli specifici comportamenti nocivi per esso rilevati - è stato
arricchito dei preziosi dati ottenuti attraverso il Kaspersky Security Network (KSN), la rete di sicurezza
globale da noi implementata; il nostro sofisticato servizio basato sul cloud, difatti, è ora disponibile
anche per gli utenti della soluzione di sicurezza Kaspersky Lab per dispositivi mobili dotati di sistema
operativo Android.
I principali dati statistici relativi al 2012
I dati statistici più significativi relativamente all’evoluzione del malware mobile lungo tutto l’arco del
2012 riguardano la crescita esplosiva del numero di software nocivi specificamente creati dai virus
writer per infettare l’OS Android. Giudicate un po’ voi: nel 2011, considerando tutte le piattaforme
mobile esistenti, erano state da noi complessivamente individuate quasi 5.300 nuove varianti di
malware mobile; ora, in certi mesi del 2012, il numero di programmi malware espressamente destinati
ad Android, da noi identificati, ha addirittura superato l’entità della cifra sopra menzionata, relativa
all’intero anno 2011. Se consideriamo poi la quantità complessiva di file dannosi unici rilevati dalle
nostre soluzioni di sicurezza, otteniamo una cifra davvero impressionante: oltre 6 milioni di programmi
malware!
La tabella qui di seguito riportata riproduce l'esatta situazione - al 1° gennaio 2013 - riguardo al numero
complessivo di famiglie e varianti di malware mobile presenti nella «collezione» di Kaspersky Lab:
Piattaforma
Android
J2ME
Numero di varianti
43.600
2257
Numero di famiglie
255
64
445
85
28
46.415
Symbian
Windows Mobile
Altre
Totale
113
27
10
469
I ritmi di crescita del numero di programmi malware espressamente «dedicati
dedicati» ai dispositivi mobili
divengono sempre più incalzanti: basti pensare che ben 40.059 delle 46.415 varianti di malware mobile
complessivamente individuate - nonché 138 famiglie su 469 - sono entrate a far parte della nostra
«collezione» proprio nel corso del 2012!
Per ciò che riguarda la distribuzione delle varianti di malware
malw
mobile in relazione
ione alle varie piattaforme
presenti sul mercato,, il grafico qui sotto riportato evidenzia in
in maniera ancor più netta ed inequivocabile
la situazione sopra descritta:
0,96%
4,86%
0,18%
0,06%
Android
J2ME
Symbian
Windows Mobile
Others
93,94%
Ripartizione delle varianti di malware mobile in relazione alle varie piattaforme esistenti Periodo: 2004-2012
Mentre alla fine del 2011 risultava riconducibile all’OS Android circa il 65% del numero
nume complessivo di
malware mobile sino ad allora individuati, esattamente un anno dopo - alla fine del 2012 - la quota
relativa ai programmi nocivi appositamente creati per attaccare il sistema operativo mobile sviluppato
da Google - da noi individuati e classificati - ha raggiunto un valore pari al 94%
% del totale del malware
mobile complessivamente rilevato.
rilevato
Suscita tuttavia ancora maggior impressione il fatto che addirittura il 99% del numero totale di
programmi malware individuati
duati nel corso del 2012 sia risultato essere specificamente destinato ai
dispositivi mobile equipaggiati con sistema operativo Android. A dir la verità, già
g a metà dello scorso
anno appariva ben chiaro come - almeno per i due anni seguenti - la scena del malware mobile sarebbe
stata nettamente dominata
ominata dalle minacce IT appositamente elaborate per colpire l’OS Android. Il fatto
che la piattaforma mobile di Google si sia rapidamente guadagnata il ruolo di sistema operativo più
diffuso nel segmento dei dispositivi
dispos
mobile,, ha reso in pratica tale piattaforma il bersaglio prediletto dai
virus writer. Evidentemente, la
l relazione «sistema operativo più diffuso» + «possibilità
possibilità di installare il
software da qualsiasi fonte»
» =>
= «maggior quantità di malware» risulta ancora
cora perfettamente valida.
I malware più diffusi per l’OS Android
Nella primavera del 2012 abbiamo reso disponibile il servizio cloud KSN anche per gli utenti del prodotto
di sicurezza IT specificamente sviluppato da Kaspersky Lab per i dispositivi mobili
mobil dotati di sistema
operativo Android. Ciò ha permesso non solo di innalzare ulteriormente il livello di protezione IT per
tutti gli apparati mobile in questione,
questione, ma anche di ricevere ed elaborare dati statistici di notevole
rilevanza, in particolar modo riguardo alle
le varianti di malware mobile sulle quali i nostri utenti si sono
più frequentemente imbattuti.
Gli oggetti nocivi maggiormente diffusi sui dispositivi Android, rilevati nel corso del 2012 dalle nostre
soluzioni anti-malware,
malware, possono essere suddivisi
suddivisi in 3 gruppi principali: i Trojan-SMS,
Trojan
i programmi
«pubblicitari» AdWare e gli exploit preposti ad ottenere i diritti di root sullo smartphone infettato.
0,31%
16,11%
32,34%
0,34%
Trojan
Trojan-SMS.AndroidOS.Opfake.bo
Trojan.AndroidOS.Plangton.a
0,59%
1,01%
1,35%
Trojan
Trojan-SMS.AndroidOS.FakeInst.a
Trojan
Trojan-SMS.AndroidOS.Opfake.a
4,31%
AdWare.AndroidOS.Hamob.a
Exploit.AndroidOS.Lotoor.g
8,18%
Trojan
Trojan-Spy.AndroidOS.Fakeview
Exploit.AndroidOS.Lotoor.c
Trojan
Trojan-SMS.AndroidOS.Agent.a
Exploit.AndroidOS.Lotoor.p
16,11%
19,35%
Others
TOP-10
10 relativa agli
agli oggetti nocivi rilevati con maggiore frequenza
sui dispositivi mobile dotati di OS Android
Tra i software dannosi destinati alla piattaforma mobile Android, i più diffusi in assoluto sono risultati
essere i Trojan-SMS,
SMS, rivolti principalmente agli utenti mobili ubicati sul territorio della Federazione
Russa. Tale circostanza non costituisce tuttavia un elemento di particolare novità, visto che, purtroppo,
è ormai da molto tempo che simili programmi nocivi godono di vasta popolarità presso le folte schiere
degli autori di malware mobile russi. L’invio di costosi messaggi SMS verso
verso numeri a pagamento da parte
degli ignari utenti-vittima
vittima rappresenta tuttora il metodo di guadagno più redditizio e più praticato dai
cybercriminali operanti nel segmento «mobile».
All’interno della speciale TOP-10
TOP 10 da noi stilata, il secondo gruppo, relativo alle minacce informatiche più
diffuse nel 2012 sui dispositivi provvisti di sistema operativo Android, risulta composto dai moduli
AdWare denominati Plangton e Hamob. Non è affatto
to un caso che la prima delle due famiglie sopra
menzionate sia stata classificata nel novero dei Trojan dagli esperti di sicurezza IT. Plangton si incontra
piuttosto di frequente in varie applicazioni gratuite per smartphone Android: attraverso tale programma
l’utente visualizza a tutti gli effetti messaggi pubblicitari sullo schermo del proprio dispositivo mobile; il
fatto è che il software in questione risulta ugualmente provvisto di una specifica funzionalità nociva,
volta a modificare la pagina iniziale del browser. La pagina web iniziale del programma di navigazione in
uso presso l’utente viene pertanto furtivamente cambiata senza che quest’ultimo possa essere
opportunamente avvisato e possa quindi esprimere o meno il proprio consenso; è per tale motivo che il
comportamento del programma AdWare Plangton viene ritenuto dannoso nei confronti del proprietario
del dispositivo mobile. Quanto ad Hamob, evidenziamo come vengano rilevate con la specifica
denominazione di <AdWare.AndroidOS.Hamob> certe applicazioni che si spacciano per software utili,
ma che, in realtà, altro non sono se non i classici moduli AdWare adibiti a mostrare messaggi pubblicitari
di ogni genere agli utenti che utilizzano gli smartphone.
Il terzo gruppo di oggetti nocivi espressamente «dedicati» alla piattaforma Android comprende infine
diverse varianti del malware Lotoor: si tratta di pericolosi exploit preposti ad ottenere i diritti di root
sugli smartphone provvisti delle varie versioni dell’OS mobile sviluppato da Google.
L’elevato grado di popolarità di cui godono simili exploit negli ambienti della cybercriminalità trova una
logica spiegazione nel fatto che le più disparate varianti di programmi backdoor riconducibili a numerose
famiglie di malware mobile - il cui numero è sensibilmente aumentato nel corso di quest’ultimo anno utilizzano le stesse identiche varianti di exploit per ottenere l’innalzamento dei privilegi (diritti di root sul
dispositivo mobile).
Le principali minacce IT per gli utenti mobili
Lungo tutto l’arco del 2012 abbiamo assistito ad un sensibile aumento del numero di incidenti virali
dovuti a software nocivi appositamente sviluppati dagli autori di malware mobile per infettare l’OS
Android. Occorre in ogni caso precisare che, nel frattempo, i malintenzionati non si sono affatto
dimenticati dei programmi nocivi destinati alle altre piattaforme mobile Descriveremo, qui di seguito, gli
incidenti di sicurezza più eclatanti che si sono prodotti durante lo scorso anno.
Le botnet mobili
Possiamo senza ombra di dubbio affermare che la prima botnet mobile sia «formalmente» comparsa nel
panorama del malware durante l’autunno del 2009. In quel preciso periodo veniva di fatto individuato il
secondo programma nocivo specificamente «dedicato» ai dispositivi mobile provvisti di sistema
operativo iOS e sottoposti a procedure di jailbreaking; tale software nocivo era perfettamente in grado
di ricevere ed eseguire i comandi impartiti da un server remoto. In questo caso, tuttavia, si è trattato più
che altro di una sorta di semplice dimostrazione, o prova effettiva, riguardo al fatto che in un futuro non
troppo lontano sarebbero potute comparire, sulla scena del cybercrimine, anche botnet pienamente
operative, formate da dispositivi mobile.
L’evento previsto si è purtroppo regolarmente verificato: nel 2012 sono state in effetti scoperte alcune
botnet mobile composte da apparecchi «zombie» provvisti di sistema operativo Android. Il primo vero
campanello d’allarme era suonato proprio all’inizio dello scorso anno, nel mese di gennaio 2012, quando
è stato individuato il bot IRC per Android denominato Foncy, un malware dotato di funzionalità
particolarmente nocive ed aggressive, il quale agiva in combinazione con un Trojan-SMS, battezzato
dagli esperti con lo stesso nome (Trojan-SMS.AndroidOS.Foncy).
L’icona di Foncy - «MADDEN NFL 12» - dopo l’installazione del malware
Una volta realizzata l’infezione, il bot IRC assumeva il pieno controllo dello smartphone sottoposto a
contagio informatico. Oltre al Trojan-SMS e al bot IRC, il dropper in formato APK (Android application
package file), classificato come Trojan-Dropper.AndroidOS.Foncy, conteneva anche un root exploit, il
quale, una volta eseguito, consentiva di ottenere l’innalzamento dei privilegi (diritti di root) sul sistema
infettato. Successivamente veniva lanciato il bot IRC, che, a sua volta, provvedeva ad installare ed
avviare il suddetto Trojan-SMS. Quest’ultimo, dopo aver recato il proprio payload nocivo, cessava la sua
azione, mentre il bot IRC rimaneva invece in esecuzione, in attesa dei comandi provenienti dal server
nocivo. In effetti, connettendosi con il server di controllo allestito dai malintenzionati, il bot in questione
era perfettamente in grado di ricevere ed eseguire sul dispositivo mobile infetto qualsiasi comando shell
inviato dal suddetto server, assumendo di fatto il pieno controllo del dispositivo infettato. In pratica,
tutti gli smartphone contagiati dal bot IRC Foncy entravano a far parte di un’estesa botnet, ed erano
pronti a svolgere qualsiasi attività dietro apposito comando impartito dal «padrone» della botnet stessa.
In Francia, le forze dell’ordine hanno in seguito individuato ed arrestato due persone, sospettate di
essere responsabili della creazione e della diffusione del suddetto malware mobile. Secondo quanto
reso noto dalla cyberpolizia francese, i virus writer in questione erano riusciti ad infettare,
complessivamente, oltre 2.000 dispositivi, ricavando dall’operazione circa 100.000 euro di guadagni
illeciti. Si è trattato del primo caso in assoluto, nella storia del cybercrimine, in cui si è proceduto
all’arresto di persone sospettate di aver sviluppato e distribuito un software nocivo espressamente
destinato ad infettare i dispositivi mobile degli utenti.
Nel mese di febbraio 2012 veniva poi scoperta l’esistenza di una botnet mobile di vaste proporzioni,
composta da una quantità di apparecchi “zombie” attivi oscillante tra le 10.000 e le 30.000 unità;
occorre tuttavia sottolineare come il numero complessivo degli smartphone coinvolti ammontasse ad
alcune centinaia di migliaia di dispositivi infettati. La botnet in questione era stata creata ed organizzata
da virus writer cinesi, da tempo specializzati nello sviluppo di un elevato numero di programmi
backdoor. L’estesa rete-zombie mobile era difatti basata su un backdoor, denominato RootSmart,
provvisto di varie funzionalità per assumere da remoto il pieno controllo dei dispositivi mobili dotati di
sistema operativo Android. Per diffondere in Rete il backdoor RootSmart i cybercriminali si erano avvalsi
di un metodo noto ormai da tempo, ma di provata efficacia: essi avevano effettuato la ricompressione di
un software del tutto legittimo, per poi collocare quest’ultimo all’interno di un sito web appartenente
alla categoria degli app store non ufficiali per la piattaforma Android, particolarmente diffusi in Cina. In
tal modo, tutti gli utenti che avessero effettuato il download di tale programma, destinato in apparenza
ad applicare esclusivamente particolari impostazioni al telefono, avrebbero ricevuto assieme ad esso un
pericoloso backdoor, appositamente elaborato dagli autori di malware mobile per asservire ad una vasta
rete-zombie i dispositivi contagiati.
Le ampie proporzioni assunte dall’infezione informatica generata da RootSmart hanno consentito ai
cybercriminali di “monetizzare” in maniera alquanto efficace le attività illegali condotte attraverso la
botnet mobile creata. Essi hanno difatti optato per il metodo di guadagno più praticato in assoluto dai
malintenzionati che si “dilettano” a violare i dispositivi mobile degli utenti: l’invio di SMS a pagamento
verso numeri brevi. Nella circostanza, i cybercriminali hanno utilizzato i numeri telefonici meno costosi,
in maniera tale che le vittime del raggiro si accorgessero il più tardi possibile della frode praticata nei
loro confronti. Il pieno controllo assunto dai malintenzionati sui dispositivi mobile contagiati ha
consentito ad essi di poter nascondere a lungo la presenza di software nocivo all’interno degli
smartphone compromessi e, quindi di poter allungare considerevolmente i tempi in cui sono stati
indebitamente sottratti cospicui fondi dagli account telefonici degli utenti-vittima.
Nel corso del 2012 gli esperti di Kaspersky Lab si sono ugualmente imbattuti in certi programmi
backdoor che, fortunatamente, non sono riusciti ad infettare un elevato numero di dispositivi mobile;
tali malware, tuttavia, si sono rivelati particolarmente interessanti per alcune specifiche caratteristiche e
peculiarità di cui erano provvisti.
Ad esempio, il software nocivo denominato Cawitt, appositamente creato per attaccare la piattaforma
mobile Android, si è rivelato piuttosto curioso e singolare, soprattutto per il meccanismo grazie al quale
il bot riceveva i nomi di dominio relativi ai centri di comando e controllo. E’ risultato difatti che, per
eseguire tale specifica attività, Cawitt si avvaleva di Twitter. Nel corpo del programma malware erano
difatti custodite alcune stringhe di codice, tramite le quali Cawitt era in grado di creare, carattere dopo
carattere, determinati nickname fittizi di utenti del social network sopra menzionato. Una volta generati
i nomi degli utenti “immaginari”, il backdoor inviava una specifica richiesta al server di Twitter, per
ricevere i loro tweet. Tali tweet contenevano, di fatto, i nomi di dominio dei centri di comando.
Esempi di tweet contenenti
con
il nome di dominio del C&
&C
Per iniziare poi a ricevere i comandi impartiti dal C&C, Cawitt inviava una richiesta POST al dominio il cui
nome era stato precedentemente ottenuto attraverso Twitter, collocando di fatto il nome di dominio in
questione all’interno della stringa "/carbontetraiodide". In risposta alla query effettuata,
eff
il bot riceveva
dal C&C un determinato comando.
ando.
Si è ugualmente rivelato di particolare interesse lo spam bot per Android denominato SpamSold,
individuato verso la fine del 2012. In effetti, per la prima volta in assoluto è stato scoperto un
programmaa malware per dispositivi mobile la cui funzionalità principale era rappresentata dall’invio di
messaggi SMS di spam tramite gli apparecchi infettati.
Il backdoor cerca innanzitutto
zitutto di nascondere la sua presenza all’interno dello smartphone, eliminando
espressamente la propria icona e caricando laa versione gratuita di un determinato gioco, utilizzata allo
scopo di camuffarsi. Successivamente, SpamSold invia al server di comando una richiesta GET di tal
genere:
La richiesta GET trasmessa da SpamSold
In risposta, il malware in questione riceve
riceve il testo del messaggio SMS che dovrà essere inviato, così come
i primi 100 numeri ai quali verrà poi effettivamente
effettiv
spedito il suddetto SMS.
La risposta inviata dal server
Una volta ricevuta la risposta del server di comando e controllo, il bot cerca di procedere all’invio in
sequenza dei messaggi SMS - contenenti il testo trasmesso dal server - verso i suddetti numeri telefonici;
in seguito, quando tali numeri si esauriscono, SpamSold si rivolge nuovamente al server nocivo, per
ricevere un nuovo lotto di numeri ed il relativo testo da inoltrare attraverso ulteriori SMS. Sottolineiamo
come il malware mobile in causa provveda a nascondere adeguatamente i messaggi SMS inviati,
mascherando in tal modo l’attività dannosa eseguita.
Fortunatamente, nella circostanza, i malintenzionati non sono riusciti a creare una botnet di vaste
dimensioni. Tuttavia, il fatto stesso che si sia iniziato ad utilizzare il malware mobile per l’invio di
messaggi SMS di spam, induce a pensare che nel corso del 2013, purtroppo, avremo a che fare più di
una volta con software nocivi provvisti di tale specifica funzionalità.
A caccia di codici mTAN
Nel corso del 2012 i cybercriminali si sono avvalsi di alcuni nuovi programmi malware per la conduzione
di attacchi informatici mirati. Un chiaro esempio di simili attacchi è rappresentato dagli assalti
informatici portati dai malintenzionati tramite ZitMo e SpitMo (Zeus- e SpyEye-in-the-Mobile). Tali
malware sono stati appositamente creati dai virus writer allo scopo di intercettare i messaggi SMS inviati agli utenti del banking online - contenenti i codici segreti mTAN, utilizzati per autorizzare le
transazioni bancarie.
Sulla scena del malware sono “regolarmente” comparse nuove versioni di ZitMo e SpitMo, rivolte tanto
alla piattaforma Android quanto ad altri OS mobile. E’ singolare osservare come, per mascherare i
malware, i virus writer utilizzino attualmente gli stessi identici metodi praticati due anni fa. I software
nocivi vengono in effetti principalmente camuffati sotto forma di «certificati di sicurezza», oppure
addirittura in veste di appositi programmi per la “protezione” IT degli smartphone. Gli ignari utenti
scaricano quindi sui propri dispositivi mobile pericolosi software nocivi, mascherati sotto forma di
programmi in apparenza del tutto innocui e sicuri.
Il malware ZitMo mascherato sotto forma di applicazione per la protezione IT
L’ampia popolarità di cui gode la piattaforma Android presso il pubblico degli utenti mobile non significa,
tuttavia, che nessuno utilizzi più sistemi operativi diversi dall’OS sviluppato da Google. Gli autori di virus,
ad esempio, sembrano non essersi minimamente preoccupati delle voci relative alla possibile imminente
scomparsa della piattaforma Blackberry. Fatto sta che, nel 2012, hanno fatto la loro apparizione sulla
scena anche nuove versioni del malware ZitMo dedicate a tale piattaforma; ne è conseguito che, nel
corso di un’intensa ondata di attacchi informatici i malintenzionati hanno contemporaneamente
utilizzato sia i software nocivi rivolti a Blackberry, sia quelli appositamente sviluppati per colpire l’OS
Android. Durante tali assalti, i numeri dei C&C (centri di comando e controllo) utilizzati dai cybercriminali
sono risultati essere gli stessi.
Rileviamo, inoltre, come alcune nuove varianti del trojan ZitMo destinate al sistema operativo Android
abbiano iniziato ad assomigliare sempre di più a certe versioni di tale malware preposte ad attaccare
altre piattaforme mobile. Mentre in precedenza ZitMo per Android era provvisto di funzionalità
piuttosto “primitive” - le quali si riassumevano, in sostanza, nell’intercettare ed inoltrare ai
malintenzionati i messaggi SMS contenenti i codici segreti mTAN relativi alle operazioni di banking
online - le nuove versioni del trojan presentano un elenco di comandi notevolmente ampliato; tali
comandi vengono naturalmente utilizzati dagli autori del programma malware in questione per
controllare e gestire il “lavoro” della propria “creatura”.
Esempi di alcuni comandi relativi al trojan ZitMo per Android
Sino al 2012, erano stati rilevati attacchi informatici del genere - volti a realizzare il furto del codice
mTAN - esclusivamente in alcuni paesi europei, ovvero Spagna, Italia, Germania, Polonia ed altri ancora.
Tali minacce IT riguardavano in ogni caso gli utenti di varie piattaforme mobile: Android, Blackberry,
Symbian, Windows Mobile. Alla fine del 2012, questa tipologia di attacchi ha iniziato ad interessare
anche gli utenti mobile ubicati sul territorio della Federazione Russa, paese in cui la pratica del banking
online si sta attualmente diffondendo in misura sempre maggiore; tali circostanze, naturalmente, si
riflettono in maniera speculare anche sul mondo del cybercrimine, andando di fatto ad influenzare e
determinare l’attività stessa degli autori di malware. Il trojan-banker Carberp, particolarmente diffuso in
Russia - il cui principio operativo ricalca da vicino quello del famigerato trojan ZeuS - è stato così
“arricchito” di una specifica versione mobile, classificata dai nostri esperti come TrojanSpy.AndroidOS.Citmo.
Il trojan CitMo, così come il «collega» ZeuS ZitMo, è in grado di occultare i messaggi SMS in entrata che
contengono i codici mTAN e, di ritrasmetterli poi ai malintenzionati di turno. Le varie versioni di СitMo
attualmente esistenti inoltrano gli SMS intercettati sia verso i numeri telefonici predisposti dai
cybercriminali, sia verso i server remoti allestiti da questi ultimi.
E’ stato rilevato, nello specifico, come una delle versioni del malware Carberp andasse addirittura a
modificare la pagina di accesso al sistema di banking online gestito da un istituto bancario russo.
Attraverso la home page fasulla in questione, l’utente del servizio veniva invitato a scaricare ed
installare un determinato programma, a quanto pare indispensabile per ottenere l’accesso al suddetto
sistema di Internet banking. Nella circostanza, l’utente avrebbe ricevuto il link necessario per effettuare
il download di tale “programma” sia attraverso un messaggio SMS - avendo preventivamente inserito
nella pagina il proprio numero di telefono - sia tramite la scansione di un apposito codice QR.
Il codice QR, uno
un dei modi previsti per generare il download del malware
In realtà, il link subdolamente proposto conduceva l’utente verso l’applicazione nociva SberSafe (TrojanSpy.AndroidOS.Citmo), la quale, per ben due settimane,
settimane è risultata presente all’interno dell’app store
ufficiale Google Play, l’ex Android Market.
Le vittimee potenziali di tale raggiro informatico,
informatico, avviando l’esecuzione dell’applicazione nociva,
avrebbero visualizzato sullo schermo del dispositivo mobile l’esplicito invito ad inserire il proprio
numero telefonico all’interno di un’apposita casella. Il numero
nume in tal modo introdotto sarebbe stato
registrato nel file <auth.txt>,
>, per poi essere successivamente trasmesso al server remoto allestito dai
malintenzionati. Trascorso un certo lasso di tempo, l’utente avrebbe ricevuto un messaggio SMS
contenente un codice formato da cinque cifre, da inserire all’interno del suddetto programma.
programma Tale
codice sarebbe stato a sua volta registrato nel file <authcode.txt>,
<
e quindi utilizzato assieme al numero
telefonico in qualità di identificativo dei dati che il programma malware
malware avrebbe successivamente
inviato al server predisposto dai cybercriminali.
Durante l’attacco “sferrato” nei confronti del dispositivo mobile allo scopo di carpire il codice segreto
mTAN, il trojan sopra menzionato provvedeva necessariamente a “nascondere”
“nasconder i messaggi SMS in
entrata provenienti dal sistema di banking online. In caso contrario, in effetti, nel momento stesso in cui
i malintenzionati avessero effettuato
effettuat i loro tentativi di sottrarre denaro dal conto bancario collegato
all’account violato, la ricezione di tali messaggi avrebbe suscitato più
ù di un sospetto da parte dell’utentevittima.
CitMo provvedeva a scaricare dal server allestito dai malfattori i dati relativi a due specifiche tipologie di
numeri telefonici: innanzitutto, i numeri da cui sarebbero partiti i messaggi in entrata da occultare ed
inoltrare poi al server remoto (registrati nel file <hide.txt>); in secondo luogo, i numeri da cui sarebbero
stati invece inviati i messaggi in entrata normalmente visualizzabili da parte dell’utente (registrati nel file
<view.txt>). Nel preciso momento in cui giungeva il messaggio SMS successivo, CitMo verificava il
mittente dello stesso. Se i dati relativi al mittente coincidevano con quanto registrato nel file <hide.txt>,
il messaggio ricevuto veniva “nascosto” all’utente e successivamente registrato nell’apposito file
<messages.txt>, per poi essere in seguito inviato al server remoto predisposto dai cybercriminali.
I Trojan-SMS
Nel panorama del cybercrimine continua a ritmo piuttosto serrato il processo evolutivo del metodo in
assoluto più diffuso, presso le folte schiere dei malintenzionati, per “monetizzare” in maniera alquanto
efficace le attività illegali condotte attraverso il malware mobile. Se nel 2011 una delle tendenze di
maggior rilievo emerse in tale segmento della cybercriminalità era rappresentata dalla comparsa dei
primi Trojan-SMS specificamente destinati agli utenti situati in Europa e in America Settentrionale, nel
corso del 2012 sono stati invece individuati veri e propri programmi di partenariato interamente dediti
alla distribuzione di Trojan-SMS appositamente creati per infettare i dispositivi mobile degli utenti
ubicati nelle due suddette macro-regioni geografiche. Come è noto, tali partnership (altrimenti
conosciute come “programmi di affiliazione”) costituiscono uno degli strumenti più efficaci per la
creazione, la diffusione e la “monetizzazione” dei programmi malware.
Nel 2012, gli esperti di virologia mobile hanno individuato l’esistenza di una famiglia di Trojan-SMS
appositamente sviluppati per attaccare il sistema operativo Android; la famiglia di malware in questione,
denominata Vidro, risultava specificamente orientata a colpire gli utenti di telefonia mobile situati sul
territorio della Polonia. Di per se, dal punto di vista strettamente “tecnologico”, tale Trojan-SMS non si
distingueva per qualche funzionalità innovativa o di particolare rilievo. Occorre tuttavia porre in
evidenza il suo tratto più caratteristico: di fatto, il malware Vidro veniva diffuso sui dispositivi mobile
degli utenti attraverso siti pornografici riconducibili ad un determinato programma di partenariato
“mobile”, volto a realizzare profitti dal traffico generato tramite contenuti di natura pornografica.
Il download del suddetto Trojan-SMS sugli smartphone degli utenti polacchi veniva realizzato attraverso
il dominio nocivo <vid4droid.com>. Tale dominio risultava controllato da due name server provvisti di
indirizzo <carmunity.de>, mentre il mail server <vid4droid.com> era stato invece collocato su
<tecmedia.eu>. Nella circostanza, sono stati individuati vari host (ad esempio <sex-goes-mobile.biz>,
<sexgoesmobile.biz>, <sexgoesmobil.com>), i cui name server e mail server risultavano essere gli stessi
del dominio <vid4droid.com>. Recandosi su uno di tali host, gli utenti sarebbero stati reindirizzati verso
il dominio <sexgoesmobile.com>, ovvero il sito web allestito nel quadro di un programma di
partenariato volto a monetizzare il traffico mobile «per adulti».
La home page allestita
stita nell’ambito del programma di partenariato <SexGoesMobile
SexGoesMobile.com>
Molte partnership «mobile» (perlomeno quelle russe) offrono a coloro che partecipano al programma
un pieno accesso ai cosiddetti «strumenti promozionali» previsti. In tal senso, il programma di
affiliazione denominato SexGoesMobile non costituisce un’eccezione. In effetti,
effetti in ogni partner del
programma SexGoesMobile viene assegnato
ass
un proprio ID. L’affiliato ha quindi la possibilità di creare un
proprio sito web mobile, utilizzando uno dei vari template messi a disposizione
disposizion (ogni modello ha un
proprio nome di dominio), generare un URL unico con il proprio ID - destinato a condurre l’utente verso
il dominio <vid4droid.com> - e collocare il suddetto URL all’interno del
el proprio sito.
Cliccando su uno qualsiasi dei link posizionati
posizion nel sito creato attraverso l’apposito
’apposito template, l’utente
giungeva quindi sul dominio <vid4droid.com>.
<
Intanto, il server
ver remoto, in base allo specifico referrer
(URL unico con ID del partner) generava una sequenza univoca di caratteri alfanumerici (lettere e cifre).
Così, sul sito <vid4droid.com>>, sotto forma di porno-applicazione,
applicazione, veniva offerto all’utente mobile il
download del file <vid4droid.apk
vid4droid.apk>, il quale si rivelava essere, in realtà, null’altro
altro se non il programma
trojan Vidro.
Una volta penetrato all’interno del dispositivo mobile dell’ignaro utente, il trojan in questione
provvedeva ad inviare al numero a pagamento polacco 72908 un SMS сon
on il testo «PAY {sequenza
univoca di caratteri alfanumerici}»,
alfanumerici ovvero la stessa sequenza univoca dii lettere e cifre generata sulla
base dell’URL e dell’ID dell’affiliato. In tal modo, ogni partner del programma sottraeva denaro agli
utenti-vittima
vittima mediante l’utilizzo di un «proprio» Trojan-SMS, in grado di inviare messaggi SMS con testo
univoco.
La comparsa di simili programmi di partenariato aldilà dei confini di Russia ed Ucraina
U
rappresenta
indubbiamente un indice inequivocabile del fatto che l’industria
l’industria del malware mobile
m
è ormai divenuta
una preoccupante ed estesa realtà non solo all’interno della Federazione Russa, ma anche sul territorio
di altri paesi.
Gli incidenti virali dovuti a software dannosi presenti negli app store ufficiali
Nonostante Google abbia introdotto il modulo antivirus denominato Google Bouncer,
Bouncer preposto al
controllo automatico di tutte le nuove applicazioni inserite in Google Play (l’ex
l’ex Android Market), non si
sono registrate significative variazioni riguardo al numero
numero medio degli incidenti virali che si sono
prodotti e alle proporzioni di questi ultimi.
ultimi
Come è noto, l’attenzione dell’opinione pubblica viene abitualmente catturata da quei casi in cui si
verifica un elevato numero di infezioni informatiche; ne è un esempio
esempio l’incidente che ha visto per
protagonista il programma malware Dougalek,, scaricato da decine di migliaia di
d utenti (in particolar
modo in Giappone). Nella circostanza, l’infezione informatica propagatasi sui dispositivi mobile
contagiati ha dato luogo ad una delle più eclatanti e massicce fughe di dati personali relativi ad utenti
mobile. Qualche tempo dopo il manifestarsi di tale incidente di sicurezza, la polizia di Tokyo ha arrestato
5 persone sospettate di essere responsabili della creazione e della diffusione del suddetto programma
nocivo; si è trattato, nella circostanza, del secondo caso di arresto, nel corso del 2012, di virus writer
specializzati nell’elaborazione di malware destinati a dispositivi mobile.
Nel 2012 si è verificato un ulteriore significativo avvenimento riguardo alla presenza di software nocivi
all’interno di negozi ufficiali di applicazioni: si è trattato, nella fattispecie, del primo caso di malware
mobile per iOS - il sistema operativo sviluppato per i dispositivi mobile prodotti da Apple - rilevato
all’interno dell’App Store. All’inizio del mese di luglio è stata in effetti individuata un’applicazione
sospetta denominata «Find and Call»; copie di essa sono state trovate sia nell’App Store che su Android
Market.
L'applicazione Find and Call dopo l’installazione sul dispositivo mobile
Una volta scaricata ed avviata l’applicazione in causa, l’utente si trovava di fronte ad una richiesta di
registrazione inerente al programma stesso, per la cui effettuazione sarebbe stato necessario immettere
il proprio indirizzo e-mail ed il proprio numero di telefono. Se, una volta esaurita la procedura di
“registrazione, l’utente avesse cercato di «trovare gli amici presenti nella rubrica telefonica» tramite
l’applicazione installata sul proprio dispositivo mobile, tutti i contatti annotati nella rubrica sarebbero
stati subdolamente trasmessi - a totale insaputa dell’utente - ad un server remoto, nel formato
seguente:
http://abonent.findandcall.com/system/profile/phoneBook?sid=
Dopo qualche tempo, ad ogni numero telefonico illegalmente carpito - presente nella rubrica telefonica
del dispositivo mobile compromesso - sarebbe giunto un messaggio di spam tramite SMS, contenente
l’esplicito invito a cliccare su un apposito link, per scaricare l’applicazione «Find and Call».
Dopo la pubblicazione delle informazioni relative a tale incidente di sicurezza, alcuni utenti hanno
iniziato a chiederci il motivo per cui tale applicazione venisse di fatto classificata tra quelle nocive. La
ragione è ben evidente: la suddetta applicazione esegue, ad insaputa dell’utente, il download della
rubrica telefonica su un server remoto; i numeri telefonici in tal modo sottratti vengono poi utilizzati per
effettuare l’invio di messaggi SMS di spam.
Fortunatamente, l’incidente sopra descritto rappresenta, al momento, l’unico caso confermato di
rilevamento di un programma nocivo all’interno dell’App Store, il negozio ufficiale di applicazioni per gli
apparecchi provvisti di sistema operativo iOS.
Il cyber-spionaggio attraverso il malware mobile
Avevamo ipotizzato, lo scorso anno, che il furto dei dati sensibili custoditi sui telefoni cellulari, così come
la sorveglianza di una determinata persona tramite il telefono utilizzato da quest’ultima ed i servizi di
geo-localizzazione mobile, sarebbero ben presto divenuti un fenomeno largamente diffuso, superando
in tal modo i naturali confini previsti per l’impiego di tali tecnologie, generalmente ad appannaggio delle
forze dell’ordine e di società private che si occupano della conduzione di delicate attività investigative.
Le nostre previsioni, purtroppo, si sono puntualmente avverate. Il numero complessivo dei programmi
malware che, in base al loro specifico comportamento, possono essere ricondotti alla categoria dei
Trojan-spyware o dei Backdoor è difatti cresciuto di centinaia di volte rispetto all’anno passato.
Desideriamo ugualmente sottolineare la presenza di un numero sempre maggiore di applicazioni
commerciali preposte allo svolgimento di operazioni di monitoraggio, applicazioni che, talvolta, si
distinguono a fatica dai programmi nocivi veri e propri.
La storia delle pratiche di spionaggio condotte attraverso il dispiegamento di insidiosi malware mobile,
per quanto relativamente breve in termini temporali, presenta già episodi di notevole rilevanza.
Ricordiamo, a tal proposito, come nell’anno 2009, mascherati sotto forma di aggiornamenti di sicurezza,
agli utenti Blackberry di uno dei maggiori operatori di telefonia mobile degli Emirati Arabi Uniti siano
stati inviati messaggi SMS contenenti un particolare link nocivo, preposto a condurre verso il download
di un programma spyware. Non bisogna dimenticare, a tal riguardo, il preciso interesse mostrato dagli
enti governativi di vari paesi nel cercare di ottenere l’accesso alle comunicazioni protette che possono
essere realizzate attraverso gli smartphone Blackberry.
Gli eventi più eclatanti che nel corso del 2012 hanno contrassegnato il panorama del cyber-spionaggio
mobile sono stati i seguenti:
•
•
individuazione di versioni mobile del modulo spyware FinSpy, programma sviluppato dalla
società britannica Gamma International;
rivelazione dei dettagli tecnici riguardanti l’operazione “Ottobre Rosso” (Red October),
un’avanzata campagna di spionaggio informatico nel corso della quale sono stati raccolti dati
sensibili ed informazioni segrete non solo attraverso i computer e gli strumenti di rete
appartenenti alle organizzazioni sottoposte ad attacco (istituzioni diplomatiche ed agenzie
governative), ma anche tramite i dispositivi mobile in uso presso il personale delle stesse.
Si tratta di due casi di particolare rilevanza, che meritano di sicuro un’analisi particolarmente
approfondita nell’ambito del nostro report sul malware mobile.
FinSpy
Le versioni mobili di FinSpy costituiscono solo una parte del portafoglio prodotti offerto dalla società
britannica Gamma International. Le prime informazioni riguardo all’esistenza di un complesso di
software destinati all’esecuzione di operazioni di monitoraggio remoto erano state già diffuse nella
prima metà del 2011. Sempre nel corso dello stesso anno erano state rese note ulteriori informazioni a
tal riguardo, le quali avevano evidenziato l’esistenza di versioni mobile del modulo di programma
denominato FinSpy. Solo nel mese di agosto 2012, tuttavia, The Citizen Lab - il noto laboratorio
interdisciplinare insediato presso l'Università di Toronto - ha avuto l’opportunità di poter analizzare le
versioni mobile di FinSpy appositamente sviluppate per i sistemi operativi Android, iOS, Windows
Mobile, Symbian e Blackberry.
Le numerose varianti di FinSpy, elaborate per le principali piattaforme mobile esistenti sul mercato,
sono risultate provviste di funzionalità alquanto simili tra loro:
•
•
•
•
•
registrazione delle chiamate telefoniche in entrata e in uscita;
effettuazione di chiamate nascoste per lo svolgimento di intercettazioni ambientali;
furto delle informazioni custodite nello smartphone (registri delle chiamate, messaggi
SMS/MMS, contatti, etc.);
possibilità di rintracciare le coordinate del dispositivo mobile;
realizzazione di comunicazioni Internet/SMS con il centro di comando.
Tuttavia, ognuna delle versioni del software in questione, specificamente sviluppata per una
determinata piattaforma mobile, presenta le proprie peculiarità. Ad esempio, la versione di FinSpy per il
sistema operativo Symbian è in grado di catturare l’immagine dello schermo; FinSpy per Blackberry
effettua invece il monitoraggio delle attività di messaggistica istantanea svolte dall’utente attraverso
Blackberry Messenger; la versione per l’OS Android è in grado di attivare/disattivare la modalità «Uso in
aereo»; FinSpy per iOS può essere installato su un numero limitato di dispositivi provvisti di uno
specifico UDID (Unique Device Identifier); la versione per Windows Mobile, infine, utilizza i cosiddetti file
di configurazione XML per le operazioni di provisioning, allo scopo di modificare le policy di sicurezza
adottate.
Una particolarità assai curiosa che riguarda tutte le versioni mobile di FinSpy attualmente esistenti è
rappresentata dalla creazione e dall’utilizzo del file di configurazione denominato <84c.dat>. I
meccanismi che ne determinano la generazione si differenziano a seconda del sistema operativo; il file
in questione risulta particolarmente importante in quanto esso contiene tutte le informazioni
indispensabili per il funzionamento del modulo spyware (indirizzo del server C&C, numero del C&C
mobile, porte utilizzate, etc.).
Sezione del file di configurazione <84c.dat> per Android, codificato tramite l’algoritmo base64
Vi è tuttavia un importante “MA” da rimarcare! Le principali funzionalità possedute dai moduli mobili di
FinSpy non rappresentano di per se qualcosa di davvero singolare od unico. In effetti, un simile set di
funzioni è stato già più volte rilevato in numerosi programmi spyware commerciali, quali, ad esempio,
FlexiSpy o MobileSpy. Il maggiore tratto distintivo di FinSpy è indubbiamente rappresentato proprio dal
suo stesso sviluppatore: si tratta, di fatto, di una società ufficialmente registrata in Gran Bretagna, la
quale, secondo le informazioni presenti sul sito web della stessa, si occupa della creazione di strumenti
per il monitoraggio remoto, per organizzazioni ed enti governativi.
Non vi sono, per il momento, informazioni su chi potrebbe avere eventualmente commissionato la
conduzione di attacchi informatici attraverso FinSpy, né si registrano, per ora, vittime effettive di episodi
legati al dispiegamento del suddetto spyware; è tra l’altro, piuttosto improbabile che in futuro si
possano ottenere adeguate risposte a tali interrogativi. In ogni caso, anche in mancanza di informazioni
specifiche al riguardo, la comparsa di FinSpy ha segnato di sicuro l’inizio di un nuovo capitolo nella storia
del malware mobile realizzato per l’effettuazione di operazioni di spionaggio informatico.
L’operazione «Ottobre Rosso»
Se alla fine del 2012 qualcuno poteva avere ancora dei dubbi residui riguardo alla rilevanza delle
tematiche inerenti al cyber-spionaggio mobile, le dettagliate informazioni rese note riguardo
all’operazione «Ottobre Rosso» (Red October) hanno definitivamente sgombrato il campo da qualsiasi
equivoco: il dato incontrovertibile è che i dispositivi mobile stanno anch’essi sempre di più diventando
bersaglio sia di attacchi mirati, sia di attacchi portati con intenti spionistici, esattamente come avviene
già da tempo nella sfera dei computer tradizionali.
Nella circostanza specifica, disponiamo di prove evidenti riguardo al fatto che persone sconosciute - le
quali agiscono dietro le quinte nell’ambito dell’operazione di cyber-spionaggio oggetto del presente
capitolo del report - sono interessate ad ottenere le informazioni sensibili custodite in determinati
dispositivi mobile. Tali informazioni possono essere carpite non solo utilizzando un malware
appositamente progettato per colpire gli apparecchi mobile, ma anche attraverso specifici moduli per
Windows, i quali interagiscono con i dispositivi connessi al computer infetto. In questa sezione del
nostro consueto resoconto sull’evoluzione del malware mobile, andremo ad analizzare in dettaglio tutte
le informazioni di cui disponiamo riguardo ai moduli mobili utilizzati nell’ambito della vasta operazione
di spionaggio informatico denominata “Ottobre Rosso”, così come quelle informazioni che, in un modo o
nell’altro, possono essere associate a tali moduli.
Uno dei moduli dannosi utilizzati
utilizz nel quadro di tale campagna di cyber-spionaggio,
spionaggio, denominato
RegConn,, è preposto a raccogliere le informazioni relative al sistema, così come i dati riguardanti la
dotazione software installata nel computer sottoposto a contagio informatico e abitualmente utilizzata
dal suo proprietario. Tali informazioni vengono ottenute tramite la lettura di determinate chiavi di
registro (l’elenco delle chiavi è contenuto all’interno del modulo stesso). Evidenziamo, nello schema qui
di seguito riportato, alcune delle chiavi prese di mira dal modulo RegConn:
HKLM
Software
Nokia
HTC
Sony
Ericsson
Teleca
Blackberry
Apple
Computer
Alcune delle chiavi
c
di registro prese di mira dal modulo RegConn
Le chiavi di registro sopra elencate hanno a che fare, in una maniera o nell’altra, con i software utilizzati
per interagire
ragire con i dispositivi mobile (quali, ad esempio, iTunes e Nokia PC Suite),
Suite software che possono
risultare installati nel computer infetto.
Un ulteriore componente di Ottobre Rosso è stato appositamente creato per operare con gli apparecchi
iPhone.. Il modulo in questione risulta preposto alla raccolta di informazioni custodite nello smartphone
s
collegato al computer infettato da tale modulo. Per svolgere l’attività nociva cui è preposto,
preposto esso utilizza
la libreria di iTunes denominata CoreFoundation.dll. Desideriamo sottolineare come il suddetto modulo
preveda l’avvio di due diversi servizi: uno di essi viene eseguito nel caso in cui il dispositivo mobile non
sia stato precedentemente sottoposto a procedure di jailbreaking;
ing; il secondo viene invece eseguito
qualora il dispositivo mobile risulti violato. In sostanza, tale modulo cerca di ottenere:
•
•
•
informazioni relative al dispositivo stesso, iniziando dall’ID univoco dello smartphone per
terminare con la versione del firmware;
i file con le seguenti estensioni:
este
.jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt,
.ppt .pptx, .dot, .dotx, .odt,
.djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .wav, .mp4,
.mp4 .m4a, .amr, .log, .cer,
.em, .msg, .arc, .key, .pgp,
.pgp .gpg;
il contenuto dei file che custodiscono le informazioni relative a messaggi SMS, contatti, registri
delle chiamate,, note, calendario, voice mail, cronologia del browser Safari, così come riguardanti
la posta elettronica.
Il modulo per Nokia dispone di funzionalità molto simili e raccoglie anch’esso informazioni relative al
dispositivo stesso, ai messaggi SMS/MMS, al calendario, ai contatti e alle applicazioni installate; allo
stesso modo, il modulo “dedicato” agli smartphone Nokia cerca di individuare e carpire i file provvisti
delle seguenti estensioni: .txt, .cdb, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg,
.rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .jpg, .waw, .mp4, .m4a, .amr, .exe, .log, .cer, .eml, .msg, .arc,
.key, .pgp, .gpg. Per interagire con il dispositivo mobile collegato al computer infetto, il modulo si avvale
della libreria ConnAPI.dll, facente parte del programma PC Connectivity Solution.
Non si possono non menzionare, poi, i componenti di Ottobre Rosso preposti ad “operare” con i
dispositivi mobile dotati di OS Windows Mobile. Tali moduli possono essere suddivisi in due distinti
gruppi:
1. moduli che agiscono sul computer Windows infetto (utilizzati per infettare/aggiornare il
dispositivo Windows Mobile collegato al computer);
2. moduli installati dal componente Windows sullo smartphone provvisto di sistema operativo
Windows Mobile e collegato al computer.
Il primo gruppo di moduli non è stato creato dai virus writer allo scopo di raccogliere le informazioni
custodite nel dispositivo mobile - dotato di OS Windows Mobile - connesso al computer. Il compito
principale dei suddetti moduli, in effetti, è rappresentato dall’installazione di un programma backdoor
sullo smartphone (o dall’esecuzione dell’aggiornamento di tale backdoor). Il componente backdoor che
viene installato sullo smartphone ad opera di uno dei moduli riconducibili al primo dei due gruppi sopra
citati è stato denominato internamente «zakladka».
In aggiunta al backdoor, il componente Windows esegue il caricamento di ulteriori file eseguibili sul
dispositivo mobile, file che vengono poi utilizzati per apportare modifiche alla configurazione del
dispositivo, per avviare l’esecuzione del programma backdoor, per l’aggiornamento di quest’ultimo o
per l’eliminazione dello stesso; i file eseguibili aggiuntivi vengono altresì utilizzati per le operazioni di
copiatura, dal computer allo smartphone, di uno speciale file di configurazione, denominato
<winupdate.cfg>.
Inizialmente, tale file si presenta sotto forma criptata. Una volta decodificato, esso appare nella maniera
seguente:
II file <winupdate.cfg> dopo l’operazione di decodifica
Il file sopra riportato contiene informazioni relativamente ai codici MСС/MNC (MCC – Mobile Country
Code; MNC – Mobile Network Code, ovvero il codice del paese ed il codice dell’operatore di telefonia
mobile). Abbiamo contato, in totale, 129 paesi unici ed oltre 350 operatori mobile riconducibili a tali
paesi.
Il componente backdoor «zakladka» definisce i codici MCC/MNC relativi allo smartphone-vittima e
provvede a confrontare le informazioni ricevute con le informazioni contenute nel file <winupdate.cfg>,
registrando il tutto in un file di log.
Il modulo «zakladka», durante le procedure di interazione con il C&C cerca di inviare agli indirizzi dei
centri di comando contenuti nel modulo stesso (<win-check-update.com> oppure, se tale dominio non
risulta accessibile, <mobile-update.com>) una richiesta POST del tipo seguente:
'POST %s HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 Content-Length: %d Host: %s'
In qualità di risposta, il modulo riceve dal server remoto un file che viene memorizzato in
\Windows\%u.exe, per poi essere successivamente eseguito.
Visto che abbiamo citato, qui sopra, i domini relativi ai C&C, non possiamo esimerci dal menzionare,
oltre a <win-check-update.com> e <mobile-update.com>, i nomi di ulteriori presunti C&C da noi
individuati:
•
•
•
•
•
•
cydiasoft.com
htc-mobile-update.com
mobile-update.com
playgoogle-market.com
security-mobile.com
world-mobile-congress.com
Ricapitolando, l’analisi effettuata ci consente di trarre le seguenti conclusioni:
è stata in primo luogo appurata l’esistenza di vari moduli nocivi - utilizzati nel quadro della campagna di
cyber-spionaggio “Ottobre Rosso” - appositamente creati per realizzare il furto di informazioni sensibili
custodite in vari tipi di dispositivi mobile.
Vi sono, in secondo luogo, indizi e segnali specifici - anche se di natura indiretta (elenco delle chiavi di
registro, nomi di dominio) riguardo all’esistenza, nell’ambito dell’operazione “Ottobre Rosso”, di moduli
previsti per interagire con altri dispositivi mobile, in particolar modo quelli dotati di sistema operativo
Android e Blackberry; al momento della pubblicazione del presente articolo, tuttavia, tali moduli non
sono stati ancora individuati dai nostri esperti.
Conclusioni
Da quando le minacce IT specificamente rivolte alle piattaforme mobile hanno fatto la loro comparsa
sulla scena del cybercrimine, ogni anno si verificano incidenti di sicurezza ed eventi che marcano in
maniera significativa le nuove fasi del processo evolutivo del malware mobile. Da questo punto di vista,
il 2012 può essere senz’altro considerato come uno degli anni chiave nell’evoluzione delle minacce
informatiche appositamente create dai virus writer per colpire smartphone, tablet ed altri dispositivi
mobile. Vediamo per quali specifiche ragioni.
Innanzitutto, nell’anno oggetto del presente report, il numero dei programmi malware “dedicati” ai
sistemi operativi mobile è cresciuto in maniera davvero esponenziale.
In secondo luogo, la piattaforma Android è definitivamente assurta al ruolo di principale bersaglio dei
cybercriminali specializzati nella creazione e distribuzione di malware mobile.
Inoltre, le minacce informatiche espressamente destinate ai dispositivi mobile hanno ormai assunto un
carattere di spiccata «internazionalità». Al giorno d’oggi, non sono più esclusivamente gli utenti russi o
cinesi ad essere presi di mira dalla cybercriminalità mobile, come invece si verificava in precedenza.
Sono stati difatti individuati seri incidenti virali, che hanno prodotto danni di considerevoli proporzioni,
anche in altri paesi.
Infine, sono state ottenute ampie prove riguardo al fatto che i dispositivi mobile e i dati in essi custoditi
possono costituire l’obiettivo a cui mirano non solo i cybercriminali “comuni”, ma anche determinate
organizzazioni che si celano dietro le quinte di attacchi informatici del tipo di “Ottobre Rosso”, l’estesa
campagna di spionaggio informatico recentemente scoperta.
