{"id":8489,"date":"2016-06-29T15:02:39","date_gmt":"2016-06-29T15:02:39","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=8489"},"modified":"2019-11-22T11:20:19","modified_gmt":"2019-11-22T09:20:19","slug":"mobile-ransomware-2016","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/mobile-ransomware-2016\/8489\/","title":{"rendered":"Ransomware sui dispositivi mobili: una minaccia concreta"},"content":{"rendered":"

La settimana scorsa abbiamo parlato dei ransomware che colpiscono i computer<\/a>, davvero una spina nel fianco. Tuttavia i ransomware non si trovano solo sui computer, ma anche sui dispositivi mobili, anzi \u00e8 una tendenza in continua crescita.<\/p>\n

Quest\u2019oggi parleremo dei principali tipi di ransomware mobile, aiutandoci con alcuni dati ottenuti dalle nostre soluzioni di sicurezza.<\/p>\n

Cosa sono i ransomware mobile?<\/strong><\/p>\n

In molti sanno ormai cosa sia un ransomware e sempre pi\u00f9 persone si sta informando sull\u2019argomento. Il ransomware per computer pi\u00f9 diffuso (e fastidioso) \u00e8 il cryptolocker<\/em>, un malware che cifra i dati, che possono essere recuperati pagando un riscatto. Il blocker<\/em>, come dice la parola stessa, blocca i browser e i sistema operativi, ai quali si potr\u00e0 accedere nuovamente sempre pagando un riscatto. I blocker sono meno diffusi rispetto ai cryptoransomware, sopratuttto perch\u00e9 quest\u2019ultimi sono pi\u00f9 efficaci e sono una miniera d\u2019oro per i cybercriminali.<\/p>\n

Nel mondo dei dispositivi mobili, la situazione \u00e8 inversa: praticamente non esistono cryptolocker per dispositivi Android in quanto le app e il sistema operativo effettuano il backup su cloud. Se gli utenti eseguono il backup dei file, non c\u2019\u00e8 bisogno di pagare un riscatto, per questo i cybercriminali non hanno stimolo ad attaccare gli utenti Android.<\/p>\n

I blocker, invece, sono il principale metodo d\u2019infezione dei dispositivi Android. Non fanno altro che sovrapporsi all\u2019interfaccia di qualsiasi app<\/em> e l\u2019utente non riesce pi\u00f9 ad utilizzarle. Su PC \u00e8 abbastanza facile sbarazzarsi di un blocker, bisogna soltanto staccare l\u2019hard disk, collegarlo a un altro computer e cancellare i file del blocker. Non \u00e8 cos\u00ec semplice su uno smartphone, l\u2019hard disk \u00e8 saldato alla scheda madre, per questo motivo i blocker rappresentano il 99% dei ransomware mobile sul \u201cmercato\u201d.<\/p>\n

Piccoli grandi protagonisti<\/strong><\/p>\n

Nel 2014-2015, la scena dei ransomware mobile \u00e8 stata dominata da 4 attori principali: Svpeng, Pletor,<\/a> Small e Fusob<\/a>. Ultimamente Pletor sembra quasi uscito di scena: i suoi creatori hanno lanciato l\u2019insidioso Trojan Acecard e si stanno concentrando soprattutto su questo \u201cprogetto\u201d. Anche gli sviluppatori di Svpeng si stanno spostando verso altro, in particolare nel perfezionare la versione bancaria del Trojan. Rimangono solo due grandi famiglie di ransomware mobile, Small e Fusob. In quest\u2019anno in corso (2015-2016) costituiscono oltre il 93% dei ransomware rivolti a dispositivi mobili.<\/p>\n

\"mob-ransomware-chart\"<\/p>\n

Vale la pena sottolineare che queste due famiglie hanno molto in comune. Entrambe mostrano false schermate che sembrano appartenere ad autorit\u00e0 ufficiali e che accusano le vittime di un qualche crimine; l\u2019utente potr\u00e0 evitare le vie legali solo pagando il riscatto.<\/p>\n

Fusob e Small propongono metodi di pagamento piuttosto singolari: Fusob suggerisce un pagamento mediante carte regalo di iTunes, mentre Small offre alle vittime l\u2019opzione di pagare mediante il sistema Kiwi o con voucher xpress di MoneyPak. \u00c8 probabile che entrambi i ransomware siano stati creati da gruppi di cybercriminali di lingua russa, anche se hanno adottato metodologie diverse.<\/p>\n

Fusob innanzitutto identifica la lingua del dispositivo e, se si tratta di una delle lingue delle repubbliche post sovietiche, non fa assolutamente nulla. Altrimenti, verr\u00e0 visualizzata una schermata che sembra provenire dall\u2019NSA dove si chiede all\u2019utente un riscatto, di solito tra i 100 e i 200 dollari. La maggior parte delle vittime di Fusob (oltre il 41%) vive in Germania, al secondo e terzo posto ci sono Regno Unito e Stati Uniti, rispettivamente con il 14,5 e l\u201911,4%.<\/p>\n

\"small-fusob\"<\/p>\n

Parliamo ora della famiglia Small. Quasi il 99% delle sue vittime si trova in 3 dei paesi che Fusob invece evita: Russia, Kazakistan e Ucraina. Il ransomware mostra una schermata appartenente a un qualche ente governativo dove si elencano le istruzioni per il pagamento, la minaccia a cui sono sottoposti gli utenti e la somma, tra i 700 e i 3.500 rubli (tra i 10 e i 50 dollari), per sbloccare il dispositivo infetto. Esiste anche una versione in inglese di Small, con una schermata dell\u2019FBI e una richiesta di riscatto di circa 300 dollari.<\/p>\n

Ci sono anche altre due versioni di Small; una consiste in un cryptolocker che esegue le stesse azioni della versione originale e in pi\u00f9 cifra i file presenti sulla scheda SD del dispositivo. La seconda versione \u00e8 un Trojan multifunzione in grado di sottrarre denaro, dati e ovviamente bloccare il dispositivo.<\/p>\n

Qual \u00e8 la situazione e cosa bisogna aspettarsi<\/strong><\/p>\n

Abbiamo parlato dell\u2019argomento in tempi non sospetti, quando i malware per dispositivi mobili non erano ancora un gran problema. Come avevamo previsto, questi malware hanno registrato una crescita esponenziale e il fenomeno non sembra arrestarsi. Tra il 2014 e l\u2019anno in corso, gli attacchi malware a dispositivi mobili si sono addirittura quadruplicati!<\/p>\n

Anche il numero delle vittime di questi attacchi \u00e8 cresciuto, dal 2,04% al 4,63%, pi\u00f9 del doppio. Lo scorso anno il principale obiettivo sono stati gli USA, un utente su 10 colpito da ransomware mobile apparteneva a questa nazionalit\u00e0. Ora 2 vittime su 10 provengono da Germania e Canada, 1 vittima su 7 da Regno Unito, USA e Kazakistan e 1 su 10 da Italia e Olanda.<\/p>\n

\n

Well-maintained backup solution is an impt part of your protection from Cryptolocker ransomware both on PC & Android. http:\/\/t.co\/ZifMqg4EsI<\/a><\/p>\n

\u2014 Kaspersky (@kaspersky) June 11, 2014<\/a><\/p><\/blockquote>\n