Utenti di dispositivi mobili, prestate attenzione al ransomware mobile! Questo il consiglio di Fortinet, dopo la crescita costante degli ultimi mesi che ha fatto registrare il malware che limita l’uso del dispositivo infettato e richiede un riscatto all’utente finale per poterne riprendere il controllo. “Quest’anno le minacce ransomware per i dispositivi mobili sono state consistenti, dall’introduzione della prima variante che ha preso di mira i dispositivi iOS, alla prima variante per Android che crittografa i dati del dispositivo”, ha spiegato Ruchna Nigam, Security Researcher dei FortiGuard Labs di Fortinet.
Più nel dettaglio, ecco i quattro mobile ransomware scoperti recentemente dai FortiGuard Labs:
– Simplocker: scoperto a giugno 2014, si presenta come applicazione Trojan, ad esempio come un Flash Player. Si tratta del primo “vero” ransomware per Android, nel senso che crittografa realmente i file (con estensione “jpeg”, “jpg”, “png”, “bmp”, “gif”, “pdf”, “doc”, “docx”, “txt”, “avi”, “mkv”, “3gp” e “mp4”) sul telefono. I dispositivi infetti vengono bloccati, con un avviso sullo schermo che indica che il telefono è bloccato e che per sbloccarlo è necessario effettuare un pagamento. Anche dopo la disinstallazione dell’applicazione in modalità provvisoria, i file devono essere decrittografati.
– Cryptolocker: scoperto a maggio 2014, viene contraffatto come un’applicazione BaDoink per scaricare video. Anche se il malware non causa danni ai dati del telefono, visualizza una schermata di blocco ad opera della polizia locale, personalizzato in base alla geolocalizzazione dell’utente finale. Il blocco dello schermo viene lanciato ogni 5 secondi rendendo difficoltoso il funzionamento del dispositivo senza la disinstallazione del malware.
– iCloud “Oleg Pliss”: scoperto a maggio 2014, è stato il primo caso segnalato di ransomware per dispositivi Apple. Questi attacchi non possono essere attribuiti a un malware particolare, ma ad account iCloud compromessi in combinazione con alcune tecniche di social engineering. Si pensa che gli autori degli attacchi sfruttino la funzionalità Trova il mio iPhone, iPad e Mac di Apple unitamente a password riciclate ottenute tramite violazioni delle password. L’attacco, tuttavia, non funziona se il dispositivo ha già un codice di accesso impostato (blocco del telefono). Il malware potenzialmente può violare informazioni relative a calendario e contatti e consentire all’autore dell’attacco di eliminare informazioni dal telefono.
– FakeDefend: scoperto a luglio 2013, prende di mira i dispositivi Android. Si presenta come un’applicazione antivirus contraffatta che invita l’utente finale a pagare una sottoscrizione completa dopo avere eseguito una falsa scansione e avere mostrato un elenco di “infezioni” hard-coded individuate sul telefono. Se l’utente decide di pagare la somma, i dettagli della carta di credito forniti vengono trasmessi al server dell’autore dell’attacco in forma di testo normale. I dettagli rubati della carta di credito possono essere usati successivamente per transazioni illecite.
“Visto che i dispositivi mobili sono sempre più diffusi, gli hacker hanno trovato nei device mobili un nuovo vettore per guadagnare denaro, oltre ai tradizionali Pc – ha aggiunto Nigam –. Gli utenti devono prestare più attenzione alla sicurezza dei propri dispositivi mobile e prendere provvedimenti per evitare che questi diventino mezzi per rubare denaro e informazioni”.
Come cautelarsi dunque? Il Security Researcher dei FortiGuard Labs di Fortinet, fornisce di seguito tre principali suggerimenti per evitare questi tipi di infezioni:
- La presenza di un antivirus sul dispositivo generalmente previene l’installazione di applicazioni infette o mette in guardia da questo tipo di installazioni.
- Si consiglia di installare applicazioni da fonti e sviluppatori affidabili. In caso contrario, i commenti degli utenti possono aiutare a valutare la legittimità di un’applicazione.
- Gli utenti di iPhone e iPad devono attivare e impostare il codice di accesso sui loro dispositivi. Questo impone l’uso di tale codice di accesso per l’attivazione della funzionalità Trova il mio iPhone, rendendo pertanto inefficace il suddetto attacco ransomware.