• Non ci sono risultati.

MALWARE NELLE APP

N/A
N/A
Protected

Academic year: 2021

Condividi "MALWARE NELLE APP"

Copied!
29
0
0

Testo completo

(1)

Bortolossi Stefano Del Favero

Marco Romanelli

Giulio

MALWARE

NELLE APP

(2)

EVOLUZIONE DEL MALWARE NELLE APP

VIRUS INFORMATICI : «NOMEN OMEN»

(3)

• Associazione ideologica tra smartphone e vecchi cellulari.

• Iniziale disinteresse alla protezione degli smartphone per la mancanza di minacce e la scarsa diffusione dei primi palmari.

• Scetticismo e superficialità degli utenti.

• Attacchi a dispositivi mobili relativamente bassi rispetto alle minacce per PC.

• Cieca fiducia nell’affidabilità delle app nello store ufficiale.

• Ostilità verso i programmi antivirus a causa del calo di prestazioni.

• Approccio sbagliato delle aziende al problema della sicurezza digitale (nessuna formazione e mancanza di responsabilizzazione del personale).

PERCEZIONE DEL RISCHIO

(4)

• Gli smartphone possono contenere dati di valore (credenziali bancarie, mTAN, indirizzi di posta elettronica, terminali POS mobili).

• Il sideload manuale del software (installazione degli APK Android bypassando l’app store) è uno dei principali mezzi di propagazione dei malware.

• Quasi un terzo delle app in vendita su app store non ufficiali contengono malware.

• Anche gli app store uficiali Google ed Apple sono stati compromessi varie volte con applicazioni infette.

• I social network vengono usati per velocizzare la diffusione delle infezioni (Es. Butterfly).

• Esistono tecniche di ingegneria sociale che portano l’utente ad eseguire i file dannosi (Es. mascherandoli come un aggiornamento importante o un livello bonus di un gioco on-line).

• Le piattaforme malware vengono vendute come kit completi che forniscono agli utenti “premium” regolari aggiornamenti e assistenza tecnica (Es. iBanking).

RISCHI REALI

(5)

I MALWARE MOBILE OGGI

TROJAN RANSOMWARE TROJAN BANCARI

TROJAN SMS XGHOSTCODE

VIRUS IBRIDI

MOBILE/DESKTOP

(6)

MOBILE RANSOMWARE

OBIETTIVI:

Le vittime preferenziali sono soggetti che sottovalutano la sicurezza informatica o non hanno le conoscenze necessarie per difendersi, come utenti privati e PMI.

Fanno leva sui sensi di colpa e sulla privacy dell’utente, accusandolo di commettere presunte infrazioni e minacciando conseguenze penali in caso di mancato pagamento.

La richiesta di una somma di denaro relativamente modesta e la mancanza di back-up su cui fare affidamento inducono a cedere al ricatto.

L’altissima percentuale di vittime che accettano di pagare rendono questo tipo di attacco molto proficuo per i cybercriminali.

TECNICA DI ATTACCO:

• BLOCCANO LO SMARTPHONE OPPURE NE CRIPTANO I DATI, RENDENDONE IMPOSSIBILE L’UTILIZZO

• RICHIEDONO IL PAGAMENTO DI UN RISCATTO PER SBLOCCARE IL DISPOSITIVO O DECRIPTARE I DATI PRESI IN “OSTAGGIO”

Distribuzione geografica delle minacce ransomware nel 2015 (numero di utenti attaccato)

(7)

MODUS OPERANDI:

1. In fase di installazione richiede i diritti amministrativi del dispositivo, contando sulla “collaborazione” dell’utente.

2. Se e’ presente una fotocamera frontale viene scatta una foto all’utente durante il funzionamento dell’app.

3. Successivamente il dispositivo viene bloccato adducendo generici

“motivi di sicurezza” e mostrando una schermata personalizzata con la foto dell’utente.

4. La schermata di blocco simula una fonte ufficiale (es. Fbi) e minaccia di rendere pubblica la frequentazione di app pornografiche da parte dell'utente.

5. Per resettare il telefono e cancellare le fotografie viene chiesto il pagamento di un riscatto di 500$, spacciato per una multa.

6. Anche dopo il pagamento non c’e’ nessuna garanzia di ripristino.

UN ESEMPIO: Adult Player

• App comparsa sul Google Play Store nel 2015, che promette di dare accesso gratuito a contenuti pornografici.

• Continua a diffondersi su canali non ufficiali sfruttando l’intraprendenza degli utenti di internet.

(8)

1. Dopo aver cliccato su “activate” l’applicazione mostra una finta pagina di update, durante la quale il malware carica un’altro apk (test.Apk) dalla sua memoria locale usando una tecnica denominata reflection attack

2. La riflessione è la capacità di un programma di esaminare e modificare il comportamento di un oggetto in fase di esecuzione , anziche’ in compilazione. Probabilmete la tecnica è stata adottata per eludere l'analisi statica e la rilevazione

Adult Player: COME FUNZIONA

(9)

3. Mentre l’applicazione e’ in uso il malware controlla se la fotocamera frontale è disponibile per scattare la foto

4. La maggior parte delle atività malevoli sono condotte dal test.Apk appena scaricato. Il malware si connette con alcuni domini hard-coded contenuti nell’app

5. Le informazioni su modello, sistema operativo e altri dettagli del dispositivo della vittima vengono inviate al server remoto

Adult Player: COME FUNZIONA

(10)

6. Infine il malware riceve dal server una risposta multi-encoded contenete la pagina personalizzata con la richiesta di pagamento

7. Una volta ricevuta la risposta il dispositivo viene bloccato visualizzando la schermata ricattatoira

Adult Player: COME FUNZIONA

(11)

TROJAN BANCARI

• TENDONO AD INTEGRARE DIVERSE TECNOLOGIE MALWARE PER APPROPRIARSI DELLE CREDENZIALI BANCARIE ED AVERE ACCESSO AL CONTO DELLE VITTIME

• SONO DIVENTATI MALWARE ATTIVI A LIVELLO GLOBALE, IN GRADO DI SCARICARE I PROFILI AGGIORNATI DI DIVERSI ENTI BANCARI

• SI DIFFONDONO PRICIPALMENTE TRAMITE PHISHING E SOCIAL ENGENEERING MA POSSONO ANCHE ESSERE INTEGRATI IN APP AUTENTICHE (Es. SmsThief)

• SPESSO SONO IN GRADO DI SUPERARE L’AUTENTICAZIONE IN DUE PASSAGGI (Es. iBanking, Faketoken)

Distribuzione geografica delle minacce mobile- banking nel 2015 (numero di utenti attaccato)

(12)

CONSEGUENZE:

• PHISHING DELLE CREDENZIALI DI ACCESSO

• INTERCETTAZIONE DELLE COMUNICAZIONI BANCARIE

• CONTROLLO REMOTO DEL DISPOSITIVO (VIA SERVER VNC)

• FURTO DI BITCOIN

• TRASFERIMENTO DI DENARO DAL CONTO DEGLI UTENTI

• CLONAZIONE DELLE CARTE DI CREDITO TECNICHE DI ATTACCO:

• MIRRORING DELLE APP (Es.OpFake, Acecard)

• FURTO DI SMS E mTAN (Es. iBanking, Faketoken)

• CREAZIONE DI BOTNET (Es. ZitMo, Hesperbot)

• ANALISI DELLA RAM (Es. PoSeidon)

STRATEGIE DEI TROJAN BANCARI

(13)

1. Tra le app installate sul dispositivo ce ne può essere una contenente malware.

2. L’utente apre un’app legittima inclusa nella lista dei target del malware.

3. L’app legittima si apre

normalmente e si prepara a visualizzare la sua home page, con form di accesso e altri

dettagli.

4. Il malware rileva questo processo e lo intercetta con la propria

schermata iniziale, che appare esattamente come quella

originale.

5. La falsa finestra richiede le

informazioni sensibili dell'utente;

una volta che l'utente le ha inserite viene ripreso il

funzionamento normale.

UN ESEMPIO: La famiglia Acecard

(14)

OBIETTIVI:

Causano il drastico calo del credito e un incremento nell'utilizzo del traffico dati.

Stanno evolvendo in trojan bancari, integrando il furto degli SMS e alcune funzionalità ransomware, come finte schermate di Google Wallet che possono essere rimosse solo inserendo i dati della carta di credito (Es. FakeInst).

TECNICHE DI ATTACCO:

Progettati per inviare, periodicamente, sms verso numeri speciali o iscrivere le vittime a servizi a pagamento, senza il loro consenso.

Spesso viaggiano assieme alle copie pirata dei giochi e delle app più popolari.

Come altre tipologie di malware, mutano rapidamente cambiando nome, dimensioni e icona, rendendone difficle l’individuazione.

Alcune versioni sono capaci di bypassare captcha e proteggersi dall’essere analizzate e individuate (Es. Podec).

TROJAN SMS

(15)

Trojan integrato all’interno di una app leggittima (Steamy

Window) modificata da craker cinesi e redistribuita sui circuiti di app di terze parti

MODUS OPERANDI:

• INVIA MESSAGGI TESTUALI A NUMERI A PAGAMENTO

• IMPLEMENTA FILTRI SU SMS IN ENTRATA DA PARTE DELL’OPERATORE

• MODIFICA I BOOKMARK NEL BROWSER

• NAVIGA NEI SITI WEB SENZA INTERVENTO DELL'UTENTE

• INSTALLA ALTRE APPLICAZIONI IN AUTONOMIA

UN ESEMPIO: PjApps

(16)

NUMERO CARTA SIM NUMERO DI TELEFONO

NUMERO IMSI

PjApp: COME FUNZIONA

(17)

TRACCIA LUOGO E POSIZIONE

PjApp: COME FUNZIONA

(18)

XCODEGHOST

Il primo attacco al mondo Apple

(19)

XCodeGhost: CHE COS’È

• CODICE MALEVOLO ALL’INTERNO DI XCODE

• PRESENTE SU SITI CINESI E

SCARICATO PERCHÉ MOLTO PIÙ

VELOCE DELLA VERSIONE UFFICIALE

• GRANDE CLAMORE VISTA LA

POLITICA SULLA SICUREZZA DELLA APPLE

• IDENTIFICATO DAI RICERCATORI DI

ALIBABA

(20)

XCodeGhost: COME FUNZIONA

STAMPA DELL’ORARIO

STAMPA DELLA VERSIONE DEL SISTEMA OPERATIVO

STAMPA DEL TIPO DI IPHONE STAMPA DELLA LINGUA

USATA DAL DEVICE

ALTRE INFO SUL DEVICE

STAMPA NOME DATO

DALL’UTENTE AL DISPOSITIVO STAMPA CODICE DEL PAESE

CONTROLLO APP A DISTANZA

STAMPA

IDENTIFICATORE UNICO STANDARD INFO SULLA

COMUNICAZION E

INVIO ALL’HACKER

DELLE INFORMAZION

I PERSONALI

DELL’UTENTE

(21)

XCodeGhost: COME FUNZIONA

XCODEGHOST DECRIPTA LA COMUNICAZION

E CLIENT-

SERVER CHE

UTILIZZA JSON

(22)

XCodeGhost: COME FUNZIONA

APERTURA DI UNA FINESTRA DI DIALOGO PER

FAR INSERIRE CREDENZIALI

ALL’USER

(23)

XCodeGhost: DIFFUSIONE

• PRINCIPALMENTE UTILIZZATO DA SVILUPPATORI CINESI MA POI INSERITOSI NEL MERCATO

GLOBALE

• SOLO VERSIONI DELL’APPLICAZIONE REALIZZATE SULLA PIATTAFORMA INFETTA SONO COLPITI DAL MALWARE

• SONO STATE COLPITE CIRCA 50 APP ALCUNE CON DIFFUSIONE MONDIALE (Es. Angry Birds 2,

WeChat)

(24)

XCodeGhost: CONTROMISURE

• Apple HA UFFICIALMENTE DICHIARATO DI AVER RITIRATO 40 APP DALLO STORE

• L’UTENTE DEVE VERIFICARE EVENTUALI COMPORTAMENTI ANOMALI DEL

DISPOSITIVO E NEL CASO CAMBIARE CREDENZIALI Apple

• EVITARE DI INSERIRE ID E PASSWORD Apple CHE VENGONO RICHIESTI SENZA MOTIVO TRAMITE POP-UP

• Apple CONSIGLIA AGLI SVILUPATTORI DI ABILITARE Gatekeeper COME

STRUMENTO DI SICUREZZA

(25)

“Abbiamo rimosso dall’App Store le app che abbiamo scoperto essere state create con il software contraffatto. Stiamo lavorando con

gli sviluppatori per assicurarci che venga usata la versione corretta di Xcode per

riscrivere le app oggetto di attacco.”

Christine Monaghan

Portavoce Apple (Settembre 2015)

(26)

PREVENZIONE & PROTEZIONE

NON PRENDERE CARAMELLE DAGLI

SCONOSCIUTI

(27)

SICUREZZA PASSIVA:

Programmi di protezione anti-virus o anti-malware.

Aggiornamenti periodici del software e patch di sicurezza.

White list delle App affidabili.

Verify Apps automatica sulle App scaricate da fonti non attendibili.

SICUREZZA ATTIVA:

• Scaricare app solo dagli store ufficiali.

• Verificare l’autore delle app.

• Valutare l’opportunità di concedere i permessi d’accesso richiesti. dall’app in accordo con le sue funzionalità.

• Prestare attenzione ai feed-back degli altri utenti.

• Prestare attenzione agli short-link.

• Evitare di cliccare su banner pubblicitari.

• Controllare periodicamente il proprio credito.

TECNICHE DI PROTEZIONE

(28)

FINE

Riferimenti

Documenti correlati

I E possibile utilizzare costanti di tipo stringa (stringhe letterali) scritte ` tra doppio apice e senza scrivere esplicitamente il carattere di fine stringa... Lettura

Più in generale, sembra doversi dire che la Costituzione, distinguendo la libertà religiosa da quella di coscienza e di manifestazione del pensiero, ha evidentemente teso

Il settore in cui attualmente l’idrogeno sta riscuotendo più successo è quello dei trasporti, dove i vantaggi in termini di tutela ambientale risultano più immediati: in questo

Procedura e scadenze per la selezione delle strategie di sviluppo locale I riferimenti sono contenuti nelle informazioni specifiche della misura. Giustificazione della selezione,

[r]

https://meet.google.com/xun-dqmw-isg da cellulare: scaricare APP Google meet e inserire: xun-dqmw-isg.. IN VIDEOCONFERENZA - ACCEDERE CON PROPRIO NOME

L’esperienza e la padronanza dei temi trattati permette di sviluppare programmi formativi per le più disparate esigenze: sicurezza sui luoghi di lavoro controllo di

conseguentemente, le dichiarazioni di terzi raccolte dalla Polizia tributaria ed inserite nel processo verbale di constatazione non hanno natura di testimonianza (quand’anche