Imitando si impara facilmente, ed è per questo che i malware per i dispositivi mobili evolvono molto in fretta. Molto spesso, infatti, imitano le strategie d’attacco e i trend che sono stati sperimentati e si sono dimostrati validi sui PC.
Come il cugino che prende di mira i PC, i ransomware per i dispositivi mobili sono diventati sempre più complessi e malevoli nel loro funzionamento. Le prime varianti di ransomware per dispositivi mobili erano “blocca schermo” che mostravano allerta e rendevano impossibile un’interazione normale con lo schermo. Individuato per la prima volta nel 2013, questo malware si comportava come un software anti-virus e informava le vittime che il loro dispositivo era infetto, chiedendo loro di acquistare una versione completa del software per “disinfettare” il dispositivo, e quindi renderlo di nuovo utilizzabile.
Nel 2014, è stato scoperto il primo ransomware per dispositivi mobili che crittografa i file, e, ancora una volta, questo cercava di seguire i passi del tipo di malware cryptolocker per Windows. Il più recente tipo di ransomware per dispositivi mobili è il Pin locker, emerso nel 2015. Un esempio ne è la versione chiamata PornDroid, che finge di essere un sito porno, e inganna l’utente inducendolo a concedere permessi di tipo Admin. Una volta ottenuti, il malware cambia il codice Pin dell’utente, estromettendolo dai propri dispositivi, e mostrando un messaggio di richiesta di riscatto.
La differenza tra i dispositivi
Anche se i ransomware per dispositivi mobili colpiscono quasi esclusivamente dispositivi Android, si è verificato un caso in cui sono stati ricattati proprio gli utenti iOS. Nel 2015, infatti, alcuni hacker hanno sfruttato credenziali rubate per effettuare il log in negli account iCloud degli utenti, e ne hanno crittografato i dispositivi da remoto, chiedendo un riscatto per sciogliere il blocco. E, a marzo 2016, è stato scoperto il primo ransomware per i Mac Apple, KeRanger, quindi, presto dovremo essere pronti a ransomware che colpiscono i dispositivi iOS.
Al momento, i ransomware per dispositivi mobili si concentrano sull’estromissione dell’utente dal proprio dispositivo, perché i sistemi operativi mobili non consentono ai malware di accedere a tutte le aree del dispositivo, della memoria o dello storage. Però, l’exploit dell’escalation dei permessi descritto precedentemente, mostra chiaramente il prossimo step dell’evoluzione del ransomware, sfruttando cioè le tecniche per conquistare permessi “root” sul dispositivo, cosa che dà concretamente al criminale il controllo completo del telefono o del tablet infettato.
Come posso difendere i miei dispositivi?
Il principio fondamentale della sicurezza dei dispositivi mobili è non eseguire mai il root o il jailbrack – in altre parole, evitare l’escalation dei permessi deliberata, che potrebbe aprire la strada a elementi malevoli, e quindi ai ransomware. Inoltre, è necessario applicare una soluzione di sicurezza solida. Le aziende dovrebbero optare per una soluzione mobile device management (MDM) – ma non tutte le MDM sono uguali. Alcune riescono ad individuare se un telefono è stato sottoposto a root da un utente, ma non da un malware – e alcuni tra i malware più avanzati riescono a eludere questo tipo di ispezioni.
Una strategia più efficace è mettere in quarantena e ispezionare tutte le app sospette o gli allegati nel cloud, prima di scaricarli sul dispositivo. Questo blocca il vettore principale dell’escalation dei permessi, che sono proprio le app malevole.
La soluzione mobile threat prevention dovrebbe avvalersi di diverse componenti, che insieme concorrono nella risposta ai vettori d’attacco mobili più comuni. I dispositivi devono essere analizzati continuamente per scoprire le vulnerabilità di sistema e i comportamenti sospetti. Inoltre, il monitoraggio della configurazione e l’analisi del comportamento possono supportare il rilevamento dei tentativi di accesso root, come detto in precedenza. E tutte le app scaricate devono essere ispezionate con il metodo delle firme binarie per quanto riguarda i malware conosciuti; in più, dovrebbero essere salvate e sottoposte a reverse-engineering per l’analisi dei flussi di codice, al fine di rivelare i comportamenti sospetti.
Infine, occorre non trascurate le fasi più semplici, come un backup regolare dei dati del dispositivo, in modo che, se dovesse accadere il peggio, potrete recuperare i vostri file senza pagare.
Aiuto! Sono già stato infettato
Purtroppo, potete fare ben poco, ecco perché è essenziale svolgere regolarmente il backup dei dati custoditi nel vostro dispositivo mobile. Certamente dovreste evitare di pagare qualsiasi riscatto, e portare il dispositivo ad uno specialista della sicurezza dei dispositivi mobili, invece che cercare di risolvere la crittografia da soli. Ma, in ogni caso, quando si parla di ransomware per dispositivi mobili, prevenire è di gran lunga meglio che curare.