Economia dei malware per dispositivi mobili: cosa bolle in pentola?

 Economia dei malware per dispositivi mobili: cosa bolle in pentola?

Avete uno smartphone oppure un tablet Android? Allora c’è il 6% di probabilità che stiate contribuendo all’economia dei malware dei dispositivi mobili, come uno degli 85 milioni di dispositivi del mondo infettati da HummingBad. Questa segreta campagna d’attacco sta fruttando più di 30.000$ al mese all’organizzazione che vi sta dietro, spianando la strada ad ulteriori attività criminali. E allora, com’è riuscita una piccola azienda con sede in Cina ad infettare così tanti dispositivi Android sul miliardo e 400 milioni che si contano in tutto il mondo e a guadagnare ogni anno milioni grazie a questi introiti fraudolenti?

Dall’inizio del 2016, i ricercatori di Check Point che indagano le minacce ai dispositivi mobili sono riusciti ad osservare incredibilmente da vicino i criminali che si celano dietro questi attacchi, studiando le loro attività e analizzando i malware che stanno sfruttando in modo così proficuo. E ciò che hanno scoperto è un gruppo altamente organizzato, che si concentra (come del resto tutte le aziende, anche quelle legali) sull’espansione e sull’aumento del fatturato, e alcuni preoccupanti segnali d’avvertimento, che danno un’idea di come potrebbe svilupparsi l’economia dei malware.

Riflettori puntati su HummingBad

La prima volta che abbiamo osservato HummingBad era a febbraio 2016. In poco tempo, il malware installava rootkit persistenti sui dispositivi Android per riscuotere fatturato dagli adv mobili fraudolenti, e per installare app, altrettanto fraudolente. Abbiamo inoltre osservato un numero crescente di infezioni, e così abbiamo iniziato a monitorare la fonte della campagna. E questo ci ha permesso di risalire a Yingmob, un’azienda cinese di advertising del tutto legale, che era già stata collegata allo sviluppo di malware contro Android e iOS. Il team di Yingmob responsabile del malware è composto da 25 dipendenti e lavora nell’ombra delle attività legali di advertising analytics, condividendo le stesse risorse e la stessa tecnologia.

L’analisi del codice di HummingBad ha svelato che il malware comunica con la dashboard di monitoraggio e analytics di Yingmob, dalla quale gli hacker gestiscono la campagna, che comprende anche quasi 200 app per dispositivi mobili, delle quali il 25% circa è malevolo. In diversi mesi, HummingBad e le app malevole collegate sono riusciti silenziosamente ad infettare 85 milioni di dispositivi, la maggior parte dei quali si trovano in Cina, India e altri paesi orientali, ma le cifre sono significative in tutto il mondo. Ad esempio, negli Stati Uniti sono stati individuati circa 300.000 dispositivi compromessi.

HummingBad, il decollo

Il primo metodo di infezione osservato dai ricercatori di Check Point è stato il download drive-by da una serie di siti web infetti. In seguito, HummingBad sferra un attacco sofisticato, a più fasi, con due elementi fondamentali. Il primo è per conquistare accessi root su un dispositivo, sfruttando vulnerabilità multiple. Se questo va a buon fine, l’hacker ottiene il controllo totale del dispositivo.

Se il primo attacco fallisce, il secondo elemento si serve di una notifica di “aggiornamento di sistema” falsa, che inganna l’utente per fornire a HummingBad permessi di sistema. Che il rooting sia andato a buon fine o meno, HummingBad scarica app fraudolente sul dispositivo.

Una volta approdato su un dispositivo, HummingBad sfrutta una vasta gamma di servizi a pagamento, incluse pubblicità, generando così click fraudolenti dal dispositivo dell’utente, e installando ulteriori app malevole. Queste tecniche illecite creano molto più reddito per i creatori di HmmingBad, rispetto a quelle legali, che rispettano la legge. Gli hacker monitorano l’efficacia delle app in ogni categoria e le modificano in modo da migliorarne ulteriormente le performance. Abbiamo scoperto che le app fanno visualizzare più di 20 milioni di adv al giorno e Yingmob totalizza quindi più di 2 milioni e 500 mila click quotidianamente.

E questo si traduce in un reddito ingente: il reddito medio per click di Yingmob (RPC), infatti, è di 0,00125$, con il risultato di un fatturato giornaliero proveniente dai click di più di 3.000$. Aggiunto agli introiti delle app fraudolente, che superano i 7.500$ al giorno, Yingmob guadagna più di 10.000$ al giorno e oltre 300.000$ al mese.

Molto più dei soldi

La campagna HummingBad si basa davvero su grandi numeri, ma le cifre che muove sono solo la punta dell’iceberg. L’attacco, infatti, colpisce migliaia di nuovi dispositivi Android ogni giorno, aggiungendo nuove vittime agli 85 milioni di dispositivi già compromessi finora. Avendo accesso a questi dispositivi, un’organizzazione autonoma e strutturata come Yingmob potrebbe dare vita ad una botnet, sferrare attacchi mirati alle aziende oppure agli enti governativi o facilitare l’accesso ai dispositivi infettati ad altri gruppi criminali, con un ulteriore mezzo per fare lucro.

Come se non bastasse, tutti i dati presenti su questi dispositivi sono a rischio, compresi i dati aziendali sui telefoni e i tablet che vengono utilizzati in modalità BYOD. E, senza individuare e bloccare i comportamenti sospetti, questi milioni di dispositivi Android e i dati che custodiscono, ad oggi sono ancora in pericolo. Con un potenziale di reddito del genere, e con la capacità di vendere gli accessi a questi dispositivi infetti a terzi sotto forma di un affitto, crediamo che HummingBad sia un esempio perfetto della strada che prenderanno le minacce ai dispositivi mobili nel corso dei prossimi due anni. I gruppi criminali organizzati impareranno infatti dall’esempio di Yingmob e troveranno nuove strategie per far evolvere le frodi sui dispositivi mobili in un business lucrativo.

Per gli utenti privati, la tecnica migliore per evitare infezioni da malware persistenti come HummingBad è scaricare le app esclusivamente da Google Play e applicare una soluzione anti-malware di buona qualità sui dispositivi Android. Per le aziende che lavorano in modalità BYOD, la strategia più efficace è applicare misure di sicurezza per dispositivi mobili in grado di individuare le app malevole che anche solo tentano di eseguire il rooting del dispositivo. La soluzione dovrebbe riuscire a ispezionare e porre in quarantena le app sospette nel cloud, prima che queste vengano scaricate sul dispositivo. In questo modo, la minaccia potrà essere neutralizzata prima che si scateni.

Tuttavia, una cosa è certa: qualcosa bolle in pentola nell’economia dei malware mobili, e dobbiamo capire come impedirle di esplodere.

Michael Shaulov

Partecipa alla discussione

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.