Trojan pubblicitari mobile nel 2017: il calo dei vecchi dispositivi Android porta i criminali a cercare nuovi metodi di monetizzazione
(Roma, 15 marzo 2018) - I trojan pubblicitari mobile, che nel 2016 si sono attestati come la principale minaccia malware per dispositivi mobile, sono diminuiti nel corso del 2017. Continuano ad infettare aggressivamente gli utenti ma le tecniche utilizzate sono cambiate negli ultimi 12 mesi. Secondo il report annuale “Mobile Malware Evolution” di Kaspersky Lab, alcune famiglie di trojan hanno iniziato a usare schemi di monetizzazione che coinvolgono servizi SMS e WAP-billing a pagamento per salvaguardare e aumentare il profitto criminale. I programmi nocivi che usano i diritti di superutente sono stati una delle principali minacce mobile degli ultimi anni – e forse una delle più potenti. Con i privilegi di root, i trojan possono installare segretamente diverse applicazioni, così come tempestare il dispositivo infettato di pubblicità che impediscono l'utilizzo dello smartphone. Oltre ad offrire un numero quasi infinito di possibilità, questi trojan sono più difficili da rilevare ed eliminare. Tuttavia, nel 2017 hanno incontrato diverse sfide. Secondo le osservazioni di Kaspersky Lab, il numero complessivo di trojan pubblicitari mobile che sfruttano i diritti di superutente è diminuito nel 2017 rispetto all'anno precedente. Questo calo è il risultato della diminuzione del numero complessivo di dispositivi mobile che operano con vecchie versioni di Android, che sono i principali obiettivi dei trojan, poiché le vulnerabilità più comuni che possono essere sfruttate vengono solitamente risolte nelle versioni più recenti del sistema. Secondo i dati di Kaspersky Lab, la percentuale di utenti con dispositivi su cui è installato Android 5.0 o versioni precedenti è diminuita dall'85% nel 2016 al 57% nel 2017, mentre la quota di utenti Android 6.0 o versioni più recenti è più che raddoppiata: dal 21% nel 2016 al 50% nel 2017 (il 6% degli utenti ha aggiornato i propri dispositivi nel 2016, il 7% nel 2017). Tuttavia, questo tipo di trojan è rimasto il più celebre tra le 20 principali minacce del 2017. Lo scorso anno Kaspersky Lab ha scoperto nuove varianti dei trojan pubblicitari che non sfruttavano le vulnerabilità che consentono l'accesso di root per mostrare le pubblicità, cercando invece altri metodi come i servizi SMS premium. Due trojan legati alla famiglia malware Ztorg con queste funzionalità sono stati scaricati decine di migliaia di volte dal Play Store. Al contempo, i ricercatori di Kaspersky Lab hanno registrato un ritorno sulla scena dei trojan-clicker mobile che rubano denaro agli utenti Android attraverso il WAP-billing, un tipo di pagamento diretto mobile che non richiede registrazioni aggiuntive. Questi trojan cliccano su pagine con servizi a pagamento e, dopo aver attivato l'abbonamento, il denaro nell'account della vittima viene direttamente versato negli account degli hacker. Questo trend non era stato riscontrato per diverso tempo ma nel 2017 questa minaccia mobile ha iniziato a diffondersi attivamente. Alcuni dei WAP-clicker scoperti contenevano inoltre moduli per il mining di crypto valuta. Ransomware mobile Le epidemie di ransomware che hanno colpito il mondo lo scorso anno hanno avuto ripercussioni anche nel panorama delle minacce mobile. Kaspersky Lab ha scoperto 544.107 pacchetti d'installazione di trojan-ransomware mobile, il doppio rispetto al 2016 e 17 volte la cifra del 2015. La crescita del volume di questi attacchi è stata riscontrata nei primi mesi dell'anno a causa dell'elevata attività della famiglia trojan Congur (che rappresenta l'83% di tutti i pacchetti d'installazione del 2017), un blocker che imposta o reimposta il PIN del dispositivo e richiede un riscatto per sbloccarlo. Sebbene le caratteristiche e le tecniche dei ransomware mobile siano rimaste praticamente immutate nel corso dell'anno, alcune funzionalità ransomware sono state scoperte tra le famiglie di trojan bancari, come Svpeng e Faketoken, con varianti capaci di criptare i file degli utenti. Nel 2017, le soluzioni di sicurezza mobile di Kaspersky Lab hanno rilevato: • 42,7 milioni di tentativi di attacco da parte di malware mobile (40m nel 2016); • Oltre 4,9 milioni di utenti di dispositivi Android protetti (1,2 volte in più rispetto al 2016); • Iran (57,25%), Bangladesh (42,76%) e Indonesia (41,14%) sono i tre Paesi più attaccati da malware mobile; • 5.730.916 pacchetti d'installazione di trojan mobile (1,5 volte in meno rispetto al 2016) • 110.184 utenti unici presi di mira dai ransomware mobile (1,4 volte in meno rispetto al 2016); • 94.368 trojan bancari mobile (1,3 volte in meno rispetto al 2016). Maggiori informazioni possono essere trovate nel report Financial Cyberthreats in 2017. “Il panorama delle minacce mobile sta chiaramente evolvendo insieme al settore mobile globale. I trojan pubblicitari mobile che sfruttano i diritti di root sono attualmente in declino ma se le nuove versioni del firmware Android si rivelassero vulnerabili, nuove opportunità si aprirebbero e vedremmo una nuova crescita di questa minaccia. Lo stesso vale per le crypto valute: con l'aumento dei miner in tutto il mondo, ci aspettiamo di vedere ulteriori varianti di malware mobile contenenti moduli di mining, nonostante le performance dei dispositivi mobile non siano elevate”, ha commentato Roman Unuchek, esperto di sicurezza di Kaspersky Lab. Per ridurre il rischio di infezione e rimanere al sicuro, Kaspersky Lab consiglia agli utenti di: • Prestare attenzione alle app installate sul proprio dispositivo ed evitare di effettuare il download da fonti sconosciute; • Tenere aggiornato il device; • Lanciare regolarmente una scansione del sistema per scoprire eventuali infezioni. Kaspersky Lab consiglia inoltre agli utenti di installare una soluzione di sicurezza affidabile sul proprio dispositivo, come Kaspersky Internet Security for Android, che protegge la privacy dell'utente e le informazioni personali dalle minacce mobile per Android. Ulteriori informazioni sull'evoluzione delle minacce mobile nel 2017 sono disponibili su Securelist.com.