Animali “mobile” e dove trovarli — Quarta parte

24 Ott 2018

Nella quarta parte del nostro esaustivo studio delle minacce che colpiscono i dispositivi mobili, parleremo dei malware più complessi e pericolosi, quelli che non solo sfruttano le funzionalità Android ma che cambiano il sistema a proprio piacimento e combinano multiple funzionalità dannose.

RAT: Trojan per accesso remoto

I Remote Administration Tool (RAT) possono essere utilizzati per collegarsi in remoto a un dispositivo della rete e non solo per visualizzare ciò che si trova sullo schermo, ma per prendere il controllo del sistema, inviando comandi da dispositivi di ingresso in remoto (tastiera o mouse per il computer, touch screen per lo smartphone).

I RAT sono stati creati con buone intenzioni, ovvero con lo scopo di aiutare nella gestione di app e impostazioni, il tutto in remoto. Per lo staff che si occupa dell’assistenza tecnica è più facile selezionare autonomamente le impostazioni che ritengono più opportune senza spiegare all’utente cosa fare per telefono (e anche l’utente ne sarà grato).

Eppure, nelle mani dei cybercriminali, i RAT si trasformano in un’arma molto potente: installare un Trojan sullo smartphone che permetta di accedere al sistema in remoto equivale a dare le proprie chiavi di casa a uno sconosciuto. L’uso dannoso dei RAT è ormai una pratica così comune che ormai in inglese l’acronimo RAT invece di “Remote Access Tool” praticamente ora significa “Remote Access Trojan”.

Dopo essersi connessi al dispositivo mediante un RAT, i cybercriminali possono fare di tutto, da rubare password e codici PIN a collegarsi alle app di home banking per prosciugare il conto bancario, oppure iscrivere a servizi a pagamento indesiderati che lentamente lasciano a secco il conto telefonico e il conto bancario a esso collegato e, perché no, anche rubare contatti e-mail, di social network e di app di messaggistica istantanea per poter perpetrare ulteriori truffe. E, come se non bastasse, i cybercriminali possono rubare tutte le foto, anche quelle più intime e personali, per ricatti.

In ogni caso, i RAT servono soprattutto per spionaggio; questi malware consentono a mogli o mariti gelosi di spiare la propria dolce metà e, in certi casi, le aziende li usano per rubare segreti industriali della concorrenza. Ad esempio, il malware AndroRAT (identificato nella primavera di quest’anno) scattava foto e registrava audio in segreto (conversazioni telefoniche comprese); inoltre si appropriava delle password delle reti Wi-Fi grazie alla geolocalizzazione, per cui entrare nella rete di un ufficio era praticamente un gioco da ragazzi.

Rooting Trojan

Su alcuni sistemi operativi (anche Android), i “permessi di root” sarebbero le cosiddette autorizzazioni da superuser, che consentono di cambiare le cartelle di sistema e i file. Per le sue normali operazioni, l’utente non ha bisogno di tali autorizzazioni e per questo sono disattivate di default. Tuttavia, gli appassionati di informatica spesso desiderano personalizzare il proprio sistema operativa avvalendosi di opzioni avanzate; in ogni caso, prima di avventurarvi in questo territorio, vi consigliamo di leggere il nostro post “Effettuare il rooting del vostro Android: vantaggi, svantaggi e imprevisti“.

Alcuni programmi dannosi, i rooting Trojan, possono ottenere i permessi di root sfruttando le vulnerabilità nel sistema operativo. Grazie alle autorizzazioni da superuser, i cybercriminali possono configurare lo smartphone infetto a proprio piacimento: ad esempio, possono obbligare il dispositivo ad aprire annunci pubblicitari a tutto schermo o a installare malware o adware in background e senza inviare alcuna notifica.

Uno dei trucchi preferiti da questi tipi di malware è quello di eliminare in segreto le app installate sullo smartphone per poi sostituirle con software di phishing o pieni zeppi di altri malware. Inoltre, si possono usare questi privilegi per impedirvi di eliminare i malware dal dispositivo. È normale, quindi, che i rooting Trojan siano considerati la minaccia più pericolosa al giorno d’oggi che riguarda i dispositivi mobili.

Trojan modulari

I Trojan modulari sono dei tuttofare, in quanto possono perpetrare attacchi su vari fronti, simultaneamente o alcuni in particolare a seconda della situazione. Uno degli esempi più emblematici è il Trojan Loapi, individuato a fine 2017. Non appena si insinuava nel dispositivo della vittima, si copriva le spalle richiedendo le autorizzazioni di amministratore, senza accettare un no come risposta. Se l’utente non acconsentiva, la finestra si ripresentava sullo schermo continuamente e l’utente praticamente non poteva più utilizzare lo smartphone. Nel momento in cui venivano concesse queste autorizzazioni, era impossibile eliminare Loapi dal dispositivo.

Arrivati a questo punto, il Trojan attivava uno dei suoi cinque moduli: mostrare pubblicità, iscrivere l’utente a servizi a pagamento mediante certi link, portare a termine attacchi DDoS a comando da un server remoto, inoltrare SMS ai cybercriminali e il tutto senza che l’utente potesse accorgersene.

Nel tempo libero, tra un’importante operazione e l’altra, il Trojan si dedicava al mining occulto di criptomonete, spesso quando lo smartphone era collegato a una presa di corrente o a una batteria esterna. Il mining è un’operazione computazionale complessa che consuma risorse ed energia, per questo la batteria impiega molto tempo a ricaricarsi. Le conseguenze per lo smartphone possono essere fatali: i nostri esperti hanno scoperto per esperienza diretta che un paio di giorni di piena attività del Trojan Loapi sono sufficienti per mettere KO la batteria dello smartphone per colpa dell’eccessivo surriscaldamento.

Come difendersi dai malware Android più pericolosi

Insomma, da quanto avete potuto leggere in questo post, i pericoli derivanti da RAT, rooting Trojan e malware modulari sono importanti. Ma potete difendervi grazie a queste semplici regole:

  • Innanzitutto, bloccate l’installazione delle app da fonti sconosciute. L’opzione è disattivata di default su Android ed è meglio che rimanga così. Non è la panacea di tutti i mali, ma può risolvere la maggior parte dei problemi collegati ai Trojan mobile;
  • Evitate di installare versioni hackerate di app, in quanto la maggior parte di esse sono infette;
  • Non cliccate su link che promettono mari e monti. Le proposte su WhatsApp di biglietti aerei gratis di solito servono per rubare i dati personali degli utenti e per scaricare malware sullo smartphone come bonus. Lo stesso vale per il phishing, tra cui messaggi da amici o sconosciuti del tipo “è tua questa foto?”;
  • Non ignorate gli aggiornamenti di Android e delle app installate sul dispositivo. Grazie agli aggiornamenti si risolvono vulnerabilità sullo smartphone che i cybercriminali potrebbero sfruttare per i propri scopi;
  • Verificate le autorizzazioni che richiedono le app e non avete paura a non concedere l’accesso a informazioni personali o a funzionalità potenzialmente pericolose su Android. Nella maggior parte dei casi, se non si accettano queste richieste, non succede nulla;
  • Installate sullo smartphone una soluzione antivirus robusta, come Kaspersky Internet Security for Android, che non solo individua ed elimina i Trojan, ma blocca anche i siti che contengono malware e iscrizioni a servizi mobile.