Pokémon Go: “Catch ‘em all” – ma non a tutti i costi!


Logo-Claim-2015-3c-highresAlcuni di voi forse si ricordano ancora le piccole e adorabili bestioline tascabili in voga alla fine degli anni novanta. Ora sono tornate sotto forma di gioco in realtà aumentata per smartphone. I cybercriminali sfruttano la popolarità di questo nuovissimo gioco scommettendo su giocatori impazienti che non vogliono attendere l’uscita ufficiale del gioco in Europa: scoperta prima versione manipolata della app.

Chi pare congelarsi per qualche secondo mentre fissa intensamente il proprio smartphone in un centro commerciale o per strada e poi riprende a camminare, borbottando “l’ennesimo pidgey”… sta indubbiamente giocando a Pokémon Go, la app in realtà aumentata per smartphone in cui rivive il famoso gioco per il Game Boy della Nintendo, che unisce mondo reale a piattaforma ludica. E’ infatti possibile catturare piccoli e graziosi animaletti animati, ma per farlo è necessario uscire fisicamente di casa per andare nel posto in cui le bestioline raccolgono, che sia un parco pubblico, per strada o appunto nel centro commerciale. Gli sviluppatori danno agli avidi collezionisti di questi piccoli animaletti giapponesi una nuova occasione per riaccendere vecchie passioni.

GDATA_SecurityBlog_PokemonGo_Office_75602w506h900

La app manipolata

Il turbinio attorno al gioco é stato un richiamo irresistibile anche per alcuni cybercriminali: su una rete di condivisione file é già stata rilevata una versione manipolata della app per l’installazione del gioco che contiene un comando per il controllo remoto di device Android. A quanto risulta, la app originaria é stata rimanaeggiata con “DroidJack”, uno strumento impiegato spesso legittimamente dagli sviluppatori, per integrarvi il malware “AndroRAT”.

AndroRAT (Remote Access Tool), già noto dal 2012/2013 e citato nel G DATA Mobile Malware Report H1/2013 fornisce numerose informazioni personali ai criminali, tra cui, ma non solo, l’elenco dei contatti, log e coordinate GPS. Ricordiamo che l’attivazione del GPS è essenziale per poter andare “a caccia” di bestioline. I criminali possono persino attivare il microfono e la fotocamera da remoto. I dati così trafugati dai dispositivi infetti vengono rivenduti e non sono da escludere casi di ricatto sulla base delle registrazioni audio-video condotte all’insaputa degli utenti.

Quando si installa una app, vengono elencate le autorizzazioni richieste. In questo caso, gli utenti più attenti possono identificare immediatamente app sospette. L’attuale versione di Android peraltro indica all’apertura di una app se un dato comando va eseguito, ma sono solo pochi gli utenti che beneficiano ad oggi del nuovo sistema operativo Android.

Da notare anche che la versione della app studiata dai ricercatori dei G DATA Security Labs disponeva persino di un certificato scaduto. Il detentore del certificato gestisce anche di un blog, che pare inattivo dal 2014. Non ci è stato quindi possibile rilevare se la app manipolata sia stata distribuita da questo individuo o se il certificato da lui emesso sia stato rubato e quindi abusato a scopo fraudolento.

Chi protegge i propri dispositivi mobili con G DATA Mobile Internet Security per Android é protetto da questa app manipalata, che viene riconosciuta come “Android.Trojan.Kasandra.B”

Perché tutto questo

In generale eventi del genere dimostrano che i criminali si adattano e possono reagire ai trend del momento molto rapidamente. Per distribuire il malware, i suoi programmatori fanno affidamento sull’alea di “esclusività” che dà giocare ad un gioco che non è ancora uscito ufficialmente sul mercato – una sensazione molto simile, per esempio, a quella dei collezionisti di dischi in vinile, quando riescono ad assicurarsene un esemplare di una edizione limitata, numerato a mano.

Il giocatore installa quindi la app manipolata e condivide con terzi ignoti informazioni che altrimenti sarebbero state riservate. Ci aspettiamo che questo tipo di manipolazioni aumentino, troppo grande il desiderio di trarre profitto dall’entusiasmo degli utenti. Eppure, per giocare in tutta sicurezza, evitando di fornire informazioni personali a chi non dovrebbe averle e magari di restare impalati in mezzo alla strada o di finire in stradine secondarie poco raccomandabili o giù da un declivio, basta giusto usare la testa!

Sul blog di G DATA alcuni consigli su come proteggersi (articolo in inglese)

Continua a leggere

G DATA: trojan bancari e malware “di Stato” tra i più diffusi nel 2015


Logo-Claim-2015-3c-highresIl produttore di soluzioni per la sicurezza informatica pubblica il proprio PC Malware Report relativo alla seconda metà del 2015: evidente il “contributo” italiano.

L’analisi delle rilevazioni condotte dai G DATA Security Labs nella seconda metà del 2015 dà adito ad una domanda: il trend (comunque crescente) ha ritrovato un suo equilibrio? Con 2.098.062 di nuove varianti di firma negli ultimi sei mesi dell’anno per un totale di 5.143.784 nel 2015 il valore si attesta di poco al di sotto di quello del 2014. Le anomale impennate della seconda metà del 2014 e della prima del 2015 paiono terminate, dando nuovamente luogo ad una crescita i cui ritmi rientrano nelle aspettative. Ciò nulla toglie però al livello di pericolosità delle minacce identificate: attacchi estremamente dannosi e massicci attraverso trojan bancari come Dridex o ZeuS e ondate di malware di livello militare, di cui alcuni evidentemente connessi all’affare “Hacking Team” tra i più diffusi nell’anno. Il G DATA PC Malware Report per la seconda metà del 2015 é disponibile online.

MalwareReportH2_2015

5.143.784 nuovi tipi di malware nel 2015

Nonostante il leggero calo del 14,3% rispetto al 2014, gli oltre cinque milioni di tipi di malware oggetto di firme virali incarnano un altissimo potenziale di danno per gli utenti. Bisogna infatti considerare che ogni variante di firma integrata in soluzioni per la sicurezza proattiva come quelle di G DATA può rilevare uno come migliaia di singoli campioni di malware.

SITI NOCIVI

Per la seconda volta dalla prima metà del 2014, i siti di scommesse sono tornati in cima alla classifica delle categorie di siti forieri di rischi per gli utenti, rimontando di ben dodici posizioni rispetto alla prima metà del 2015.

In totale il numero di siti classificati come nocivi é aumentato del 45%, cosa che sottolinea che gli attacchi lanciati tramite web sono ancora tra le minacce più insidiose per gli utenti dei PC. Interessante anche il dato relativo alla posizione geografica dei server che ospitano tali siti. Con una crescita a due cifre rispetto alla prima metà del 2015, oltre il 57% degli attacchi rilevati ha avuto luogo dagli Stati Uniti. Anche la Cina, Hong Kong, la Russia e il Canada (che cubano insieme il 14,4%) si trovano ai vertici della classifica dei Paesi “ospite”. L’Europa ha avuto un ruolo meno rilevante nella seconda metà del 2015, sebbene Germania e Italia siano comunque da collocare tra i top 7 su scala mondiale con una quota cumulativa del 6% dei siti nocivi ospitati.

EXPLOIT KITS

gdata_diagram_exploit_kit_detections_H2_2015_v1_EN_RGB

Nella seconda metà del 2015 gli exploit kit Neutrino, Angler, Nuclear e Magnitude sono stati tra i più diffusi. Come nella prima parte dell’anno, Adobe Flash è stato uno dei vettori di malware più sfruttato dai cybercriminali. In seguito ad analisi approfondite risulta che la prima forte ondata di attacchi tramite exploit che hanno avuto luogo nel secondo semestre 2015 sia stata dovuta alla divulgazione degli strumenti impiegati da Hacking Team, tra cui appunto exploit di vulnerabilità zero-day di Adobe Flash, integrati dai cybercriminali nei propri malware in brevissimo tempo (7 luglio 2015). Il sistema di protezione anti-exploit integrato nelle soluzioni G DATA ha protetto gli utenti contro tutti questi attacchi, inclusi quelli di derivazione “Hacking Team”. Dopo una breve fase di relativa calma, il 13 ottobre un nuovo exploit per flash (CVE-2015-7645 / APSA15-05) facente parte del gruppo APT28, aka Sofacy, ha attirato nuovamente l’attenzione dei ricercatori. Gli specialisti dei G DATA Security Labs citano in particolare queste due ondate di attacchi per far notare che – nel caso dei derivati di “prodotti” Hacking Team in maniera comprovata e nel caso di APT28 sulla base di numerosi sospetti – esse abbiano avuto luogo adattando strumenti di attacco di livello militare, impiegati da enti governativi.

Il rischio che tali strumenti cadano nelle mani dei cybercriminali viene discusso da tempo tra analisti di sicurezza e ricercatori. L’esistenza di tale rischio é ora una certezza.

Per ulteriori informazioni su trend e sviluppi del malware per PC nel 2015 pregasi consultare il report completo al link: public.gdatasoftware.com/Presse/Publikationen/Malware_Reports/EN/gdata_pc_malware_report_h2_2015_en.pdf

Continua a leggere

G DATA avvisa: il nuovo ransomware Manamecrypt usa vettori di infezione non convenzionali e blocca noti antivirus


Il trojan che cifra i dati, a cui ci si riferisce anche con il nome di CryptoHost, si diffonde attraverso software altrimenti legittimi.
Logo-Claim-2015-3c-highres

I G DATA Security Labs hanno identificato Manamecrypt un nuovo ransomware noto anche come CryptoHost. Questo nuovo malware non solo cifra i file ma blocca anche il funzionamento di determinate applicazioni che presentano stringhe particolari nel nome del rispettivo processo. Inoltre viene veicolato in modo decisamente atipico per questa tipologia di minacce: si presenta in “bundle” con software altrimenti legittimi e viene installato insieme all’applicazione manipolata. Le soluzioni G DATA riconoscono e rimuovono questo malware.

csm_manamecrypt_locked_01_anonym_430746d965

Vettore di infezione e attività atipici

Ciò che rende Manamecrypt fondamentalmene differente dai tipici malware che cifrano i file, di cui abbiamo sentito parlare nelle scorse settimane, è che il campione analizzato non si diffonde tramite mail o exploit kit bensì attraverso software legittimi, può quindi essere classificato come classico trojan. Il bundle consiste di un client µTorrent legittimo, adeguatamente firmato e correttamente funzionante, che reca con sé la componente nociva “on top”.

Anche il comportamento del malware una volta installato è differente da altri ransomware, tra cui Locky,Petya o Teslacrypt, ampiamente trattati dai media di settore nelle scorse settimane. Manamecrypt seleziona i file che vuole cifrare e li copia in un file con estensione .RAR (un tipo di file compresso, simile a .ZIP), cifrando questo archivio con una password. I file originali vengono cancellati.

Inoltre le applicazioni con specifiche stringhe nel nome del processo (tra cui alcune soluzioni di sicurezza di terzi) vengono bloccate con il seguente avviso:

manamecrypt_block_exe_01

Interessanti anche le stringhe colpite dal ransomare:

Catturamanamecrypt

Per ulteriori dettagli sui tipi di file cifrati e altre informazioni su questo nuovo malware, pregasi consultare l’articolo completo sul G DATA SecurityBlog: https://blog.gdatasoftware.com/2016/04/28234-manamecrypt-a-ransomware-that-takes-a-different-route

Come prevenire infezioni

  • Installare una soluzione di sicurezza che include uno scanner anti-malware e tecnologie proattive per l’identificazione di minacce sconosciute
  • Il software dovrebbe essere scaricato esclusivamente dalla pagina ufficiale dei rispettivi produttori
  • E’ importante effettuare regolarmente backup di documenti e dati importanti
  • Le applicazioni installate vanno aggiornate rapidamente, non appena è disponibile l’aggiornamento da parte del produttore
  • Esaminare con cautela le email ricevute da sconosciuti.

Continua a leggere

Il caso dell’attacco phishing travestito da foglio Excel condiviso su piattaforma Windows Live


Logo-Claim-2015-3c-highresI cybercriminali le tentano proprio tutte: gli attacchi mirati agli utenti aziendali non sono una novità, ma a volte gli espedienti utilizzati per accedere ai nostri dati sorprendono.

I tentativi di attacco veicolati tramite mail erano già noti ancora prima dell’ondata di Ransomware. Quotidianamente vengono inviati in europa centinaia di milioni di messaggi spam, tra cui non figurano esclusivamente attacchi di massa ma anche attacchi mirati. Nel presente caso, analizzato dai G DATA Security Lab, abbiamo a che fare con un espediente ai danni delle aziende, il cui procedimento risulta “innovativo”. I destinatari della mail si accorgono solo facendo estrema attenzione, che si tratta di un tentativo di truffa. Le soluzioni G DATA riconoscono l’allegato come Script.Trojan-Stealer.Phish.AG. Tutti i dettagli di questo particolare caso sono consultabili sul blog dei G DATA Security Labs al link https://blog.gdatasoftware.com/2016/03/28211-order-turns-out-to-be-phishing-attack-in-excel-look

La mail che raggiunge la casella di posta elettronica delle potenziali vittime reca un allegato chiamato purchase-order.htm. A ben guardare, il messaggio contiene elementi che destano sospetti. L’azienda emittente non esiste sotto questo nome, l’indirizzo gmail del mittente può risultare poco serio e il testo della mail contiene refusi, che possono essere scusabili, considerando che il potenziale cliente pare non essere geograficamente collocato in Paesi anglofoni.

csm_excel_phish_document_anonym_6abcd9a205L’allegato é travestito da documento prodotto con Microsoft Excel e condiviso online. Il file si presenta in effetti come una tabella, ma in realtà è solo un’immagine (order.png) non un documento lavorabile. Con tecniche di social engineering i criminali puntano alla curiosità dell’utente, segnalando ad esempio in rosso che le informazioni contenute nel file siano riservate. L’immagine viene caricata da un server situato ad Hong Kong. Per poter scaricare il documento, il destinatario deve inserire le proprie credenziali di accesso ai servizi della piattaforma live.com di Microsoft. In effetti però, la maschera per l’inserimento di tali dati non ha il formato giusto. Evidentemente i cybercriminali partono dal presupposto che gli utenti dei servizi online legati al pacchetto Office siano facilmente raggirabili. Peraltro, il diretto riferimento visivo, ma non esplicitamente citato, a tale piattaforma, suggerisce che i dati di accesso ai servizi Windows Live siano l’obiettivo di questa campagna. In effetti sono di valore, poiché ottenendoli, i cybercriminali si assicurano accesso illecito ad una serie di servizi, tra cui archivi di documenti online, posta elettronica per trafugare informazioni e inviare ulteriori messaggi di spam e molto altro.

Tutti dati ottimamente sfruttabili, specie se provenienti da un contesto aziendale.

excel_phish_login_error_anonym

I dati inseriti, ossia l’indirizzo mail e la password, vengono inviati subito dopo il click su “scarica” allo stesso server a Hong Kong, da cui sono state caricate le immagini, tuttavia ad un altro dominio. I G DATA Security Labs ritengono che l’intero server sia controllato dai cybercriminali. Dopo l’invio dei dati, una pagina web presenta – ovviamente – una notifica di errore.

Come proteggersi quando si ricevono mail di questo genere

Partendo dal presupposto che tutti siano dotati di una soluzione di sicurezza che integri una protezione antispam aggiornata:

  • Verificate la plausibilità del messaggio chiedendovi:
    • La mia azienda ha motivo di ricevere un ordine dall’estero?
    • Il destinatario della mail sono io o sono indicati altri indirizzi?
    • Che impressione generale mi fa il messaggio? Ci sono errori evidenti?
  • Siate sospettosi quando ricevete mail da mittenti sconosciuti. Se la mail risulta “strana” ignoratela, cancellatela ma non aprite allegati e non cliccate su link. Soprattutto non rispondete alle mail di spam, mai, perché farlo corrisponde a confermare che il vostro indirizzo mail esiste, quindi assume un valore ancora maggiore per i criminali!
  • L’apertura di allegati é un fattore di rischio, occorre scansirli con una soluzione di sicurezza e poi cancellarli senza aprirli. In caso di dubbio girate il file senza aprirlo direttamente ai G DATA SecurityLabs per un’analisi.
  • I link nelle mail non vanno cliccati senza pensarci bene. L’indirizzo web andrebbe verificato. Molti client di posta elettronica consentono di verificare l’esatto rimando del link senza cliccarci sopra, bensì passandoci sopra il mouse. In caso di incertezze inviate l’indirizzo (senza cliccarci sopra) ai G DATA Security Labs per l’analisi.
  • Le e-Mail con allegati in formato HTM(L) dovrebbero essere valutate con grande scetticismo. Il formato è usato di norma per siti web, difficilmente per lo scambio di informazioni tra persone. Lo stesso dicasi per file in formato .JS (JavaScript).
  • Non comunicate dati personali, né per email, né tramite formulari di dubbia natura o su siti sospetti.
  • In un contesto aziendale: fate riferimento al vostro amministratore di sistema o al CISO, qualora un dato processo risulti sospetto.

Continua a leggere

G DATA: il curioso caso della app che sottoscrive servizi “premium” a tua insaputa


Nelle scorse settimane gli analisti dei G DATA Security Labs hanno esaminato nei dettagli una app che sottoscriveva abbonamenti a servizi premium senza interazione alcuna da parte dell’utente. Presente sul Google Play Store dal 3 novembre scorso, la app è stata rimossa tre giorni dopo l’avviso di G DATA al colosso di Mountain View.Logo-Claim-2015-3c-highres

Noti circa sei anni fa come la prima vera minaccia per gli utenti di Android, SMS che dirottavano gli utenti su servizi “premium” rappresentavano ai tempi il pericolo numero 1. Da allora il panorama del malware per dispositivi mobili ha subito notevoli trasformazioni, proprio per questo è curioso che un nuovo tipo di trappola spillasoldi con iscrizione nascosta a servizi „premium“ possa mantenersi per numerose settimane nel Google Play Store e cagionare indisturbata danni economici agli utenti. I G DATA Security Labs ne presentano un esempio in tutti i dettagli.

L’esca

Quando gli utenti si avvalgono di app che offrono servizi premium tramite acquisto in-app o come “ricompensa” per lo svolgimento di “compiti”, non trattandosi di ostacoli troppo gravosi, gli utenti preferiscono fruire di tali proposte “gratuite” senza pensarci due volte. Il produttore della app legittima guadagna ovviamente soldi (provvigioni, introiti pubblicitari e similari) con questo metodo. Ogni azione condotta dagli utenti desiderosi di accedere “gratuitamente” ai propri servizi gli porta profitti. Solo in pochi si chiedono „cosa può mai succedere?“ scambiando „lavoro“ (scaricare, installare, avviare la app proposta) con tempo utile per la fruizione dei servizi premium.

45362930_m

In questo quadro, una particolare app “trappola” (Blend Color Puzzle) ha attirato l’attenzione dei G DATA Security Labs. Proposta da una nota dating app per Android come “strumento” per “guadagnarsi” ore di fruizione dei servizi della app legittima, il gioco gratuito, graficamente simile a Blendoku, registrava a due mesi dalla pubblicazione circa 100.000 download. Un numero stupefacente per il probabile primo lavoro dello sviluppatore (fartye.polisertg@gmail.com) o dell’azienda (GHR Corp) –nominati nella pagina informativa della app e di cui non sono presenti altre app sullo Store. Dalle analisi è emerso che la dating app in questione non era la sola a proporre il gioco, nei commenti (circa mille di cui oltre il 25% negativi e contenenti avvisi sulla trappola spillasoldi) vengono menzionati almeno altri due programmi, tramite i quali gli utenti sono stati indirizzati verso il gioco. In questo modo la app si è assicurata un numero di download elevato in poco tempo.

La trappola

Dopo l’avvio del gioco l’utente riceve due SMS con la notifica di sottoscrizione a ben due abbonamenti del valore di € 4,99 / settimana, senza alcuna precedente interazione. In tutto la app di gioco mostra un congruo numero di variabili e azioni dipendenti l’una dall’altra. Ad esempio, 60 secondi dopo aver tagliato la connessione al wifi domestico con passaggio dal wifi alla rete mobile, la app lancia una cosiddetta Webview, quindi una pagina web, che però non viene mostrata all’utente. Le analisi dei G DATA Security Labs evidenziano che questa sia la connessione al server utilizzata per la trasmissione dei dati per la fatturazione tramite WAP-Billing dell’abbonamento mai sottoscritto. Tale attività è stata identificata dalle soluzioni di sicurezza G DATA e resa innocua.

Un abuso da denunciare

“Sono molti gli utenti che si rivolgono a centri per la tutela dei consumatori a posteriori di spiacevoli situazioni sperimentate in rete. Abbonamenti sottoscritti tramite app perché l’utente non ha letto cautamente termini e condizioni accettandole frettolosamente, sono all’ordine del giorno, ma questo trucco per spillare soldi senza interazione dell’utente è un nuovo fenomeno“ spiega Ralf Benzmüller, Direttore dei G DATA Security Labs. „Quello che stiamo osservando é un espediente tecnico realizzato con forti investimenti, messo in atto per colpire un’ampia massa di utenti. La app viene presentata agli utenti tramite applicazioni legittime, raccoglie dati personali, interviene sui canali di trasmissione mobile e viene pubblicizzata con commenti positivi postati ad hoc. A prescindere dal nostro interesse deontologico nella app trappola, la sottoscrizione di un abbonamento senza esplicita approvazione dell’utente presenta numerose ombre anche dal punto di vista legale. Gli utenti colpiti dovrebbero assolutamente richiedere assistenza e procedere contro tale abuso.“

La rimozione della app

La app truffa è stata rimossa dal Play Store tre giorni dopo che i G DATA Security Labs hanno inviato a Google un avviso dettagliato, corredato di tutte le prove del caso. Non ci è dato sapere se effettivamente il nostro contributo ha determinato la rimozione della app dallo Store, ma alla luce del fatto che la App fosse online da quasi tre mesi e che la sua rimozione ha avuto luogo poco dopo il nostro intervento, ci piace pensare di aver avuto un ruolo attivo nel processo di tutela degli utenti.

Il tutto conferma una certezza: il “gratuito” non é sempre la scelta più economica, considerando il danno (€ 4,99 / settimana x 2) rispetto alla “ricompensa” promessa dalla app legittima e il tempo che l’utente ha investito e dovrà investire nel recesso e per la richiesta di risarcimento.

Continua a leggere