Abbiamo raccolto in questo articolo tutte le applicazioni più pericolose del Mondo: Trojan di Stato, malware per il Banking, apps truffa: i pericoli per gli utenti sono molti. Ecco tutti i trucchi dei cybercriminali.
Purtroppo la strumentalizzazione degli smartphone contro gli interessi degli utenti è ormai all’ordine del giorno e non sono solo gli scandali relativi ai cellulari dei capi di Stato a ricordarcelo. In Ucraina, per esempio, i manifestanti che protestavano contro il governo hanno ricevuto uno strano quanto intimidatorio Sms, il cui testo recitava: “Gentile cliente, lei è stato schedato in quanto partecipante a una rivolta”. I servizi segreti canadesi Csec hanno sfruttato il loro potere per seguire i movimenti di migliaia di utenti di smartphone, rei di connettersi regolarmente a reti Wlan pubbliche.
Questi esempi mostrano il potere che ottiene chi sfrutta le possibilità di controllo dei moderni smartphone: i dispositivi inviano continuamente la loro posizione ai ripetitori e il Gps permette d’in-dividuarne l’esatta ubicazione. La rubrica dei contatti, le mail, gli Sms, le liste di chat e di telefonate documentano con chi, quando e su cosa abbiamo parlato. I dati registrati nelle apps, le tracce che lasciamo nel browser servono a dare un’immagine di ciò che ci piace e di come la pensiamo. Un sogno per chi è alla ricerca di dati, un incubo per gli utenti inesperti. Se installate una delle apps trojan che sono in circolazione, trasformate il vostro telefono in una subdola cimice che sfrutta a vostra insaputa fotocamera e microfono, registrando i vostri dati. L’attivista internet ed esperto di sicurezza Jacob Appelbaum sottolinea che i servizi segreti non si fanno scrupoli e trasformano addirittura oggetti insospettabili, quali cavi Usb e tastiere, in strumenti di sorveglianza.
Trojan di Stato senza frontiere
I cosiddetti trojan di Stato, sviluppati da aziende private e venduti a istituzioni governative sia nel proprio Paese sia all’estero, sono tra i tool di spionaggio più potenti e pericolosi. Sono soprattutto aziende tedesche come DigiTask, Trovicor e Gamma International a guadagnare un bel gruzzolo da questi malware. I tool servono ufficialmente solo a sostenere la lotta contro il crimine, per dirla con il linguaggio tecnico Lawfull Interception (intercettazioni legali). Nel mirino della suite di trojan high tech FinFisher, per esempio, ci sono pedofili e terroristi, come afferma Martin Munch, capo sviluppatore di Gamma International. Quello che però per gli uni è un terrorista, per gli altri è un attivista, e non c’è da sorprendersi che anche giornalisti e attivisti dei diritti dei cittadini in Bahrain ed Etiopia siano stati vittime di questo tool. Munch si difende dall’accusa di fare affari con regimi totalitari e afferma che in Bahrain è stata utilizzata una versione demo rubata.
Che ci si creda o meno, i fatti sono questi: la Rete non conosce confini e, una volta in circolazione, questi tool diventano armi pericolose che possono essere puntate contro chiunque. Ricercatori dell’università di Toronto hanno scoperto server FinFisher in tutto il mondo, non solo in Germania, ma anche in molti regimi dittatoriali. Per questo alcune organizzazioni per i diritti umani, come Reporters sans frontières, hanno inoltrato un reclamo all’Ocse contro Gamma International e l’ex azienda affiliata a Siemens, Trovicor, colpevoli di sostenere le violazioni dei diritti dell’uomo.
La Germania utilizza apps controverse
Alle istituzioni governative tedesche evidentemente non interessano queste questioni, visto che la polizia criminale federale ha concesso in licenza a FinFisher 150.000 euro senza troppi problemi. Per la verifica dei codici sorgente l’istituzione ha incaricato l’azienda americana Computer Sciences Corporation che collabora a stretto contatto con Cia e Nsa. La polizia criminale federale utilizzerà FinFi-sher fino alla fine del 2014, dopodiché dovrebbe essere pronta una
propria suite trojan. L’istituzione americana Internet Crime Com-plaint Center (ic3.gov), della quale fa parte anche l’Fbi, appare meno entusiasta del controverso tool di raccolta dati: nell’estate del 2013, ic3.gov ha messo in guardia dai rischi di FinFisher.
Il programma di spionaggio gira su pc e smartphone e anche gli iPhone ne sono vittime. La variante mobile di FinFisher, FinSpy Mobile, utilizza un cosiddetto Ad Hoc Distribution Profile, attraverso il quale s’installano apps che non si trovano sul sicuro App Store. In Android gli utenti possono installare le apps da ogni fonte, ma c’è comunque una buona notizia: la versione conosciuta di FinSpy Mobile si piega all’architettura di sicurezza degli smartphone ed è costretta a indurre gli utenti a installare il malware attraverso un messaggio di phishing. Il pc è stato a lungo una preda più semplice: Fin-Fisher s’intrufolava attraverso un’importante falla di sicurezza del meccanismo di aggiornamento di iTunes. Brian Krebs, esperto di sicurezza, aveva già fatto notare questo rilevante errore nel luglio 2008, ma iTunes ha chiuso la falla solamente tre anni dopo.
Nel frattempo tutti gli antivirus offrono protezione dalle versioni di FinFisher conosciute. F-Secure fa comunque notare che “cimici high tech” non ancora note potrebbero sfuggire alla rete dei programmi antivirus, motivo per cui sono anche così costose.
Frugare di nascosto nei telefoni degli amici
Meno cari, ma comunque costosi, sono i tool di spionaggio che chiunque può acquistare in Rete. Il programma più famoso per le aspiranti spie si chiama FlexiSpy e permette soprattutto di sorvegliare partner, dipendenti e figli. Una licenza per un anno costa almeno 150 dollari, ma chi desidera ascoltare telefonate e attivare fotocamera e microfono deve sborsare 350 dollari. L’app è sul mercato da anni e continuamente in evoluzione, il suo sito web si trova su un server americano. La piccola cimice gira su tutti i cellulari, che siano Android 4 o iOS 7, ma molte opzioni, come il monitoraggio del microfono, funzionano solo su telefoni sui quali sia stato effettuato il root; Sms e un elenco delle chiamate vengono inviati anche senza accesso al root. La versione per iOS invece gira solo su dispositivi con jailbreak.
Dopo che l’acquirente di FlexiSpy è riuscito a installare l’app sul telefono che desidera sorvegliare, questa nasconde la propria icona. In questo modo è difficile accorgersi di essere spiati e, anche se lo si scoprisse, è possibile porvi fine solo con una difficile operazione tecnica. Il tool cancella addirittura i simboli del Superuser e l’App Store Cydia che s’installano sul telefono quando si effettua il root o si scarica il jailbreak. Una volta installata, la piccola cimice si mette all’opera e invia diligentemente tutti i dati ai server FlexiSpy. Il cliente può effettuare il login su un’interfaccia web da un computer e avere accesso al dispositivo. La privacy ha un valore del tutto singolare all’interno dell’azienda: infatti, il sito afferma che FlexiSpy s’impegna a proteggere la sfera privata degli utenti.
I malware preferiscono Android
I comuni trojan, diffusi liberamente in Rete dai criminali, hanno sempre avuto come scopo finale fare soldi e impossessarsi dei dati degli utenti, che vengono poi rivenduti a reti pubblicitarie. La maggior parte dei malware invia costosi Sms premium, senza che l’utente se ne accorga, anche se Google sta rendendo più difficile la cosa grazie a una funzione di protezione introdotta a partire da Android 4.2: grazie a essa, le apps che inviano Sms costosi devono essere confermate dall’utente. Tuttavia, l’universo Android è profondamente diviso e il 73% dei dispositivi, soprattutto quelli più convenienti, ha ancora una versione di Android più vecchia senza poter quindi usufruire della nuova sicurezza.
Gli attacchi trojan per il 99% hanno come obiettivo il sistema operativo di Google, mentre i malware per iOS sono praticamente inesistenti. Ciò è dovuto a diversi motivi: Android è il sistema mobile più diffuso, in particolare in Russia e in Cina, dove si trovano i focolai dello sviluppo e delle infezioni dei trojan; inoltre, Android lascia una relativa libertà d’uso e ogni utente, contrariamente a quanto succede per iOS, può installare senza problemi apps di dubbia provenienza da uno dei numerosi store non ufficiali. La società di networking Juniper Networks ha scoperto oltre 500 Android store che diffondono malware. La maggior parte di questi si trova in Russia o in Cina, ma va detto che 16 erano in Germania, anche se Jupiter non ha voluto fare nessun nome. Il trucco dei criminali sta nel fatto di far credere all’utente di scaricare un programma regolare e conosciuto, che in verità spedisce di nascosto i dati e fa lievitare la bolletta. In vetta alla classifica di queste apps infette si trovano, stando a quanto afferma il produttore di antivirus Trend Micro, soprattutto giochi, seguiti da wallpaper e altri programmi di personalizzazione.
Nel Play Store ufficiale di Google non si trovano di norma dei malware, in quanto Google controlla tutte le nuove apps con un tool di nome Bouncer, che elimina i malware e blocca i criminali. A volte, però, capita che apps particolarmente ben fatte superino i controlli di Bouncer, com’è avvenuto l’anno scorso per il malware BadNews. Anche il sistema di controllo di Apple è vulnerabile: un gruppo di ricerca del Georgia Institute of Technology è riuscito a infiltrare una cosiddetta Jekyll App nello store iOS, che rivelava la sua natura malevola solo dopo l’installazione. I ricercatori hanno così dimostrato che Apple aveva controllato meccanicamente l’app solo per pochi secondi, prima di renderla accessibile a tutti. A parte queste eccezioni, gli store ufficiali offrono un altissimo grado di sicurezza, ma gli utenti farebbero comunque bene a prestare molta attenzione e, nel dubbio, a diffidare di programmi nuovi di origine sconosciuta e con pochi commenti.
Apps pericolose fai-da-te
Sul suo canale YouTube (www.youtube.com/user/sphynxsoft/videos), il ricercatore per la sicurezza di Bitdefender, Bogdan Botezatu, ha dimostrato quanto sia facile per un amatore sviluppare e diffondere un’app trojan. Con soli pochi clic di AndroRAT (Android Remote Administration Toolkit), programma Windows facile da utilizzare, ha generato una versione trojan del gioco Hello Kitty Cafe, in tutto e per tutto identica alla versione originale. Per farlo, ha bisogno solo del file d’installazione dell’app, scaricabile dal Play Store, il resto avviene automaticamente nella suite di trojan. Una volta modificata, non gli resta che metterla liberamente a disposizione in Rete e aspettare che ignari utenti installino il famoso gioco. Dal momento che il gioco funziona in maniera del tutto normale, gli utenti si accorgeranno della trappola solo con la successiva bolletta del telefono. Questo metodo promette successo soprattutto con versioni crac-cate e gratuite di apps a pagamento.
Il miglior trojan Android che si sia finora incontrato, Backdoor. AndroidOS.Obad.a, si è diffuso principalmente attraverso spam via Sms e si nascondeva dietro un’immagine. “Obad.a contiene i codici exploit per tre falle inedite nella sicurezza e ricorda, date la complessità e la versatilità, i malware per pc”, afferma Christian Funk, esperto di Kaspersky. Dopo l’installazione, durante la quale l’utente deve già acconsentire a molte autorizzazioni critiche, Obad.a richiede altri diritti di Admin. Il tool usa poi una falla nella sicurezza nell’amministrazione delle autorizzazioni per evitare una disinstallazione. Le falle sono state riparate da Google solo nella versione 4.3 di An-droid. Se sul telefono attaccato è stato effettuato il root, Obad.a richiederà l’accesso all’account root e chiederà un’autorizzazione. Chi la concede, spalanca la porta al trojan, che può uscire dalla sandbox in cui sono rinchiuse tutte le apps e infiltrarsi in altre applicazioni. Senza accesso al root il programma invia costosi Sms, dati a server di controllo e può installare altri programmi pericolosi.
Malware bancari ripuliscono i conti
Un conto ancora più salato lo pagano gli utenti che vengono attaccati da trojan che rubano le informazioni bancarie come Zeus-in-the-Mobile, in grado d’inficiare una procedura sicura come quella del-l’mTan. Per farlo, i criminali devono prima attirare la vittima su una pagina di phishing e indurla a inserire i dati di accesso per l’online banking. Contemporaneamente, richiedono al malcapitato d’inserire il numero di telefono, per inviargli un presunto programma di sicurezza, atto a preservare la sicurezza della transazione. In verità si tratta di tutt’altro: i criminali inviano sul cellulare un Sms con un link, dietro il quale si nasconde il virus. Il tool approda però sul cellulare solo se i malcapitati non prendono in considerazione diverse misure preventive di sicurezza, ovvero: permettono l’installazione di apps di origine sconosciuta nel menù delle Impostazioni, cliccano sul link dell’Sms e consentono esplicitamente l’installazione dell’app, accettando le importanti autorizzazioni. Una volta superati questi ostacoli, Zeus-in-the-Mobile inoltra di nascosto tutti gli mTan della banca in entrata ai criminali, i quali possono ripulire il conto con tutta calma. Tutti i pericoli qui descritti possono essere evitati scaricando i programmi esclusivamente dal Play Store di Google e disattivando l’installazione di applicazioni d’origine sconosciuta sotto Impostazioni/Sicurezza/Origini sconosciute. In aggiunta, sarebbe opportuno tenere attivata la funzione che si trova sotto Impo-stazioni/Sicurezza/Verifica applicazioni, presente a partire dalla versione 4.2 di Android. Un antivirus non fa certo male, ma non è così fondamentale come in Windows, dato che le applicazioni Android possono essere installate solo dietro consenso.
Molte apps rivendono i dati privati
C’è però un altro pericolo, al quale sono esposti gli utenti di smartphone, che potenzialmente si cela dietro ogni app: la violazione della privacy. L’ultima a far parlare di sé è stata la famosa app Brightest Flashlight sviluppata da GoldenShores Technologies, scaricata più di 10 milioni di volte. L’applicazione si procura molte autorizzazioni al momento dell’installazione, per esempio la possibilità di conoscere il numero di telefono, stabilire la posizione dello stesso e inviare allo stesso tempo dati in Rete. Molte applicazioni gratuite si finanziano vendendo i dati degli utenti a reti pubblicitarie, proprio come Brightest Flashlight. Bitdefender ha scoperto che nel frattempo il 35% di tutte le applicazioni spia la posizione del telefono. La vera e propria truffa di Brightest Flashlight stava nel fatto che l’applicazione faceva credere che si potesse impedire l’elaborazione dei dati personali, ma nella pratica quest’opzione non esisteva e, indipendentemente dall’impostazione scelta, l’app inviava comunque una grande quantità di dati in Rete, come stabilito dall’accusa della US Federal Trade Commission.
Chi vuole proteggere i propri dati personali dalla spietata commercializzazione attraverso terze parti, quindi, dovrebbe leggere attentamente le autorizzazioni richieste prima dell’installazione. I potenziali ladri di dati richiedono soprattutto una combinazione tra diritti d’accesso a dati personali, come identità del telefono, posizione, account e liste di apps, e una contemporanea connessione alla rete. Particolarmente pericolose sono le applicazioni che inviano Sms ed effettuano telefonate. Non bisognerebbe mai consentire queste autorizzazioni senza prima avere riflettuto bene.
Acquisti in-app: una trappola per bambini
Anche gli acquisti in-app possono intaccare sensibilmente il conto in banca. Sono soprattutto i giochi per bambini apparentemente gratuiti a nascondere un trucco che fa lievitare i costi. I genitori che si sono lasciati convincere da dolci animali e dragoni a scaricare giochi gratuiti come Tap Pet Hotel dovrebbero fare molta attenzione quando lasciano i figli con gli smartphone o i tablet. In poco tempo si aprono dei menù dalla grafica accattivante, dov’è possibile scambiare soldi veri con oggetti coloratissimi, upgrade che aiutano ad avanzare nel gioco. Una transazione simile può arrivare a costare anche 99 dollari.
Chi vuole fare degli acquisti deve inserire in Android e iOS una password, ma iOS la richiede generalmente solo ogni 15 minuti, An-droid addirittura ogni 30 minuti. Troppo tempo per i ragazzi, che nel frattempo possono acquistare allegramente. Ciò che era pensato come una comodità si rivela presto una trappola, con bambini che possono scambiare cifre alte di denaro vero in denaro virtuale e colorati frutti di bosco senza sapere cosa stanno realmente facendo: il conto di una famiglia americana per il gioco Tap Pet Hotel è arrivato a 2.600 dollari. Per fortuna che in iOS è possibile disattivare completamente la funzione, o personalizzarla in modo che si debba immettere la password prima di ogni acquisto, nel menù Impostazioni/Generali/Restrizioni. Gli utenti Android non hanno quest’opzione, per cui è ancora più consigliabile un’attenta lettura della descrizione dell’app.