Bortolossi Stefano Del Favero
Marco Romanelli
Giulio
MALWARE
NELLE APP
EVOLUZIONE DEL MALWARE NELLE APP
VIRUS INFORMATICI : «NOMEN OMEN»
• Associazione ideologica tra smartphone e vecchi cellulari.
• Iniziale disinteresse alla protezione degli smartphone per la mancanza di minacce e la scarsa diffusione dei primi palmari.
• Scetticismo e superficialità degli utenti.
• Attacchi a dispositivi mobili relativamente bassi rispetto alle minacce per PC.
• Cieca fiducia nell’affidabilità delle app nello store ufficiale.
• Ostilità verso i programmi antivirus a causa del calo di prestazioni.
• Approccio sbagliato delle aziende al problema della sicurezza digitale (nessuna formazione e mancanza di responsabilizzazione del personale).
PERCEZIONE DEL RISCHIO
• Gli smartphone possono contenere dati di valore (credenziali bancarie, mTAN, indirizzi di posta elettronica, terminali POS mobili).
• Il sideload manuale del software (installazione degli APK Android bypassando l’app store) è uno dei principali mezzi di propagazione dei malware.
• Quasi un terzo delle app in vendita su app store non ufficiali contengono malware.
• Anche gli app store uficiali Google ed Apple sono stati compromessi varie volte con applicazioni infette.
• I social network vengono usati per velocizzare la diffusione delle infezioni (Es. Butterfly).
• Esistono tecniche di ingegneria sociale che portano l’utente ad eseguire i file dannosi (Es. mascherandoli come un aggiornamento importante o un livello bonus di un gioco on-line).
• Le piattaforme malware vengono vendute come kit completi che forniscono agli utenti “premium” regolari aggiornamenti e assistenza tecnica (Es. iBanking).
RISCHI REALI
I MALWARE MOBILE OGGI
TROJAN RANSOMWARE TROJAN BANCARI
TROJAN SMS XGHOSTCODE
VIRUS IBRIDI
MOBILE/DESKTOP
MOBILE RANSOMWARE
OBIETTIVI:
• Le vittime preferenziali sono soggetti che sottovalutano la sicurezza informatica o non hanno le conoscenze necessarie per difendersi, come utenti privati e PMI.
• Fanno leva sui sensi di colpa e sulla privacy dell’utente, accusandolo di commettere presunte infrazioni e minacciando conseguenze penali in caso di mancato pagamento.
• La richiesta di una somma di denaro relativamente modesta e la mancanza di back-up su cui fare affidamento inducono a cedere al ricatto.
• L’altissima percentuale di vittime che accettano di pagare rendono questo tipo di attacco molto proficuo per i cybercriminali.
TECNICA DI ATTACCO:
• BLOCCANO LO SMARTPHONE OPPURE NE CRIPTANO I DATI, RENDENDONE IMPOSSIBILE L’UTILIZZO
• RICHIEDONO IL PAGAMENTO DI UN RISCATTO PER SBLOCCARE IL DISPOSITIVO O DECRIPTARE I DATI PRESI IN “OSTAGGIO”
Distribuzione geografica delle minacce ransomware nel 2015 (numero di utenti attaccato)
MODUS OPERANDI:
1. In fase di installazione richiede i diritti amministrativi del dispositivo, contando sulla “collaborazione” dell’utente.
2. Se e’ presente una fotocamera frontale viene scatta una foto all’utente durante il funzionamento dell’app.
3. Successivamente il dispositivo viene bloccato adducendo generici
“motivi di sicurezza” e mostrando una schermata personalizzata con la foto dell’utente.
4. La schermata di blocco simula una fonte ufficiale (es. Fbi) e minaccia di rendere pubblica la frequentazione di app pornografiche da parte dell'utente.
5. Per resettare il telefono e cancellare le fotografie viene chiesto il pagamento di un riscatto di 500$, spacciato per una multa.
6. Anche dopo il pagamento non c’e’ nessuna garanzia di ripristino.
UN ESEMPIO: Adult Player
• App comparsa sul Google Play Store nel 2015, che promette di dare accesso gratuito a contenuti pornografici.
• Continua a diffondersi su canali non ufficiali sfruttando l’intraprendenza degli utenti di internet.
1. Dopo aver cliccato su “activate” l’applicazione mostra una finta pagina di update, durante la quale il malware carica un’altro apk (test.Apk) dalla sua memoria locale usando una tecnica denominata reflection attack
2. La riflessione è la capacità di un programma di esaminare e modificare il comportamento di un oggetto in fase di esecuzione , anziche’ in compilazione. Probabilmete la tecnica è stata adottata per eludere l'analisi statica e la rilevazione
Adult Player: COME FUNZIONA
3. Mentre l’applicazione e’ in uso il malware controlla se la fotocamera frontale è disponibile per scattare la foto
4. La maggior parte delle atività malevoli sono condotte dal test.Apk appena scaricato. Il malware si connette con alcuni domini hard-coded contenuti nell’app
5. Le informazioni su modello, sistema operativo e altri dettagli del dispositivo della vittima vengono inviate al server remoto
Adult Player: COME FUNZIONA
6. Infine il malware riceve dal server una risposta multi-encoded contenete la pagina personalizzata con la richiesta di pagamento
7. Una volta ricevuta la risposta il dispositivo viene bloccato visualizzando la schermata ricattatoira
Adult Player: COME FUNZIONA
TROJAN BANCARI
• TENDONO AD INTEGRARE DIVERSE TECNOLOGIE MALWARE PER APPROPRIARSI DELLE CREDENZIALI BANCARIE ED AVERE ACCESSO AL CONTO DELLE VITTIME
• SONO DIVENTATI MALWARE ATTIVI A LIVELLO GLOBALE, IN GRADO DI SCARICARE I PROFILI AGGIORNATI DI DIVERSI ENTI BANCARI
• SI DIFFONDONO PRICIPALMENTE TRAMITE PHISHING E SOCIAL ENGENEERING MA POSSONO ANCHE ESSERE INTEGRATI IN APP AUTENTICHE (Es. SmsThief)
• SPESSO SONO IN GRADO DI SUPERARE L’AUTENTICAZIONE IN DUE PASSAGGI (Es. iBanking, Faketoken)
Distribuzione geografica delle minacce mobile- banking nel 2015 (numero di utenti attaccato)
CONSEGUENZE:
• PHISHING DELLE CREDENZIALI DI ACCESSO
• INTERCETTAZIONE DELLE COMUNICAZIONI BANCARIE
• CONTROLLO REMOTO DEL DISPOSITIVO (VIA SERVER VNC)
• FURTO DI BITCOIN
• TRASFERIMENTO DI DENARO DAL CONTO DEGLI UTENTI
• CLONAZIONE DELLE CARTE DI CREDITO TECNICHE DI ATTACCO:
• MIRRORING DELLE APP (Es.OpFake, Acecard)
• FURTO DI SMS E mTAN (Es. iBanking, Faketoken)
• CREAZIONE DI BOTNET (Es. ZitMo, Hesperbot)
• ANALISI DELLA RAM (Es. PoSeidon)
STRATEGIE DEI TROJAN BANCARI
1. Tra le app installate sul dispositivo ce ne può essere una contenente malware.
2. L’utente apre un’app legittima inclusa nella lista dei target del malware.
3. L’app legittima si apre
normalmente e si prepara a visualizzare la sua home page, con form di accesso e altri
dettagli.
4. Il malware rileva questo processo e lo intercetta con la propria
schermata iniziale, che appare esattamente come quella
originale.
5. La falsa finestra richiede le
informazioni sensibili dell'utente;
una volta che l'utente le ha inserite viene ripreso il
funzionamento normale.
UN ESEMPIO: La famiglia Acecard
OBIETTIVI:
• Causano il drastico calo del credito e un incremento nell'utilizzo del traffico dati.
• Stanno evolvendo in trojan bancari, integrando il furto degli SMS e alcune funzionalità ransomware, come finte schermate di Google Wallet che possono essere rimosse solo inserendo i dati della carta di credito (Es. FakeInst).
TECNICHE DI ATTACCO:
• Progettati per inviare, periodicamente, sms verso numeri speciali o iscrivere le vittime a servizi a pagamento, senza il loro consenso.
• Spesso viaggiano assieme alle copie pirata dei giochi e delle app più popolari.
• Come altre tipologie di malware, mutano rapidamente cambiando nome, dimensioni e icona, rendendone difficle l’individuazione.
• Alcune versioni sono capaci di bypassare captcha e proteggersi dall’essere analizzate e individuate (Es. Podec).
TROJAN SMS
• Trojan integrato all’interno di una app leggittima (Steamy
Window) modificata da craker cinesi e redistribuita sui circuiti di app di terze parti
MODUS OPERANDI:
• INVIA MESSAGGI TESTUALI A NUMERI A PAGAMENTO
• IMPLEMENTA FILTRI SU SMS IN ENTRATA DA PARTE DELL’OPERATORE
• MODIFICA I BOOKMARK NEL BROWSER
• NAVIGA NEI SITI WEB SENZA INTERVENTO DELL'UTENTE
• INSTALLA ALTRE APPLICAZIONI IN AUTONOMIA
UN ESEMPIO: PjApps
NUMERO CARTA SIM NUMERO DI TELEFONO
NUMERO IMSI
PjApp: COME FUNZIONA
TRACCIA LUOGO E POSIZIONE
PjApp: COME FUNZIONA
XCODEGHOST
Il primo attacco al mondo Apple
XCodeGhost: CHE COS’È
• CODICE MALEVOLO ALL’INTERNO DI XCODE
• PRESENTE SU SITI CINESI E
SCARICATO PERCHÉ MOLTO PIÙ
VELOCE DELLA VERSIONE UFFICIALE
• GRANDE CLAMORE VISTA LA
POLITICA SULLA SICUREZZA DELLA APPLE
• IDENTIFICATO DAI RICERCATORI DI
ALIBABA
XCodeGhost: COME FUNZIONA
STAMPA DELL’ORARIO
STAMPA DELLA VERSIONE DEL SISTEMA OPERATIVO
STAMPA DEL TIPO DI IPHONE STAMPA DELLA LINGUA
USATA DAL DEVICE
ALTRE INFO SUL DEVICE
STAMPA NOME DATO
DALL’UTENTE AL DISPOSITIVO STAMPA CODICE DEL PAESE
CONTROLLO APP A DISTANZA
STAMPA
IDENTIFICATORE UNICO STANDARD INFO SULLA
COMUNICAZION E
INVIO ALL’HACKER
DELLE INFORMAZION
I PERSONALI
DELL’UTENTE
XCodeGhost: COME FUNZIONA
XCODEGHOST DECRIPTA LA COMUNICAZION
E CLIENT-
SERVER CHE
UTILIZZA JSON
XCodeGhost: COME FUNZIONA
APERTURA DI UNA FINESTRA DI DIALOGO PER
FAR INSERIRE CREDENZIALI
ALL’USER
XCodeGhost: DIFFUSIONE
• PRINCIPALMENTE UTILIZZATO DA SVILUPPATORI CINESI MA POI INSERITOSI NEL MERCATO
GLOBALE
• SOLO VERSIONI DELL’APPLICAZIONE REALIZZATE SULLA PIATTAFORMA INFETTA SONO COLPITI DAL MALWARE
• SONO STATE COLPITE CIRCA 50 APP ALCUNE CON DIFFUSIONE MONDIALE (Es. Angry Birds 2,
WeChat)
XCodeGhost: CONTROMISURE
• Apple HA UFFICIALMENTE DICHIARATO DI AVER RITIRATO 40 APP DALLO STORE
• L’UTENTE DEVE VERIFICARE EVENTUALI COMPORTAMENTI ANOMALI DEL
DISPOSITIVO E NEL CASO CAMBIARE CREDENZIALI Apple
• EVITARE DI INSERIRE ID E PASSWORD Apple CHE VENGONO RICHIESTI SENZA MOTIVO TRAMITE POP-UP
• Apple CONSIGLIA AGLI SVILUPATTORI DI ABILITARE Gatekeeper COME
STRUMENTO DI SICUREZZA
“Abbiamo rimosso dall’App Store le app che abbiamo scoperto essere state create con il software contraffatto. Stiamo lavorando con
gli sviluppatori per assicurarci che venga usata la versione corretta di Xcode per
riscrivere le app oggetto di attacco.”
Christine Monaghan
Portavoce Apple (Settembre 2015)
PREVENZIONE & PROTEZIONE
NON PRENDERE CARAMELLE DAGLI
SCONOSCIUTI
SICUREZZA PASSIVA:
• Programmi di protezione anti-virus o anti-malware.
• Aggiornamenti periodici del software e patch di sicurezza.
• White list delle App affidabili.
• Verify Apps automatica sulle App scaricate da fonti non attendibili.
SICUREZZA ATTIVA:
• Scaricare app solo dagli store ufficiali.
• Verificare l’autore delle app.
• Valutare l’opportunità di concedere i permessi d’accesso richiesti. dall’app in accordo con le sue funzionalità.
• Prestare attenzione ai feed-back degli altri utenti.
• Prestare attenzione agli short-link.
• Evitare di cliccare su banner pubblicitari.
• Controllare periodicamente il proprio credito.