Lo scopo principale di ogni attività è quello di crescere e di avere più successo – e ciò vale anche per le organizzazioni criminali, proprio come per le aziende legittime. I cybercriminali hanno scoperto che gli attacchi specifici per smartphone e tablet, in particolare quelli che incorporano un payload di ransomware, sono efficaci e redditizi, per cui il volume di malware destinato agli utenti di dispositivi mobili è triplicato nel 2015.
Tuttavia, la struttura attuale degli attacchi su mobile è stata, fino a poco tempo fa, molto semplice.
Un’applicazione maligna viene inviata al dispositivo mobile, come allegato o come download da un collegamento Web compromesso. Da lì il pacchetto fa il suo danno utilizzando le interfacce predefinite del programma di applicazione di sistema (API) con le relative autorizzazioni, o tentando di implementare un exploit e infine sfruttando il codice nativo per eseguire comportamenti dannosi.
Oggi, tuttavia, le cose stanno cambiando. Le tattiche utilizzate dai criminali per raggiungere i dispositivi mobili sono più sofisticate e subdole, con l’obiettivo di infettare con successo molti più dispositivi rispetto a quelli precedenti. Conosciuti come “attacchi a catena”, si dividono in diversi componenti, ognuno dei quali ha un obiettivo diverso e una funzione separata nello schema dell’attacco.
Un attacco a catena ben organizzato dovrebbe prevedere quanto segue:
- Un dropper, all’apparenza benigno. Il suo ruolo è lanciare l’attacco scaricando o aprendo il collegamento successivo della catena. Ad esempio, nell’attacco a catena del Brein Test, il dropper è mascherato come un’applicazione di gioco legittima disponibile per il download su Google Play.
- Un pacchetto di exploit. Ciò consente l’esecuzione di codice con privilegi più elevati, in genere privilegi di root. A sua volta, ciò significa che il malware può accedere a risorse sensibili come i file hardware e di sistema. Se riuscito, il collegamento successivo della catena viene scaricato.
- Il tipo di payload varia da caso a caso. Molti sono varianti di ransomware, che crittografano i dati sul dispositivo e richiedono il pagamento in cambio della decrittografia. Altri payload sono applicazioni che rubano informazioni. Nell’attacco Brain Test, il payload scarica ulteriori applicazioni fraudolente per guadagno finanziario.
- Alcuni attacchi a catena contengono persistency watchdogs, che impediscono l’eliminazione dell’applicazione maligna installata o dei suoi servizi di sfondo. Se una componente dannosa cruciale per l’attacco viene rimossa, il watchdog innescherà automaticamente la sua reinstallazione. Il malware del Brain Test ha usato queste tecniche anti-disinstallazione, rendendole difficilmente rimuovibili dagli utenti.
- A volte viene integrato un componente backdoor. Questo predispone un’interfaccia per l’esecuzione di codice in modalità remota, consentendo ai criminali informatici di controllare in tempo reale i dispositivi delle vittime.
‘Perché attacchi a catena?
Gli attacchi a catena possono essere estremamente dannosi, ma perché diventano un metodo di attacco popolare per i cybercriminali? Tutto risale a quei collegamenti multipli. Poiché un attacco a catena è costituito da diversi componenti, qualsiasi identificazione o ostacolo sarà probabilmente applicabile a una parte limitata dell’attacco globale. Ogni file che costituisce un attacco a catena genera solo una frazione dell’attività complessiva dell’attacco, cosa che è molto più difficile da rilevare.
Ciò significa che i singoli attacchi a catena hanno maggiori probabilità di successo, ma anche che i cybercriminali possono facilmente modificare o aggiornare un attacco che è stato solo parzialmente identificato e compreso. Le strutture di attacco a catena si prestano ad essere costruite con un codice più modulare, che rende più semplice lo sviluppo del malware e la sua capacità di adattamento a nuovi sistemi, obiettivi e regioni geografiche.
Inoltre, gli attacchi a catena consentono agli aggressori una sorta di selezione, utilizzando le informazioni iniziali e continuando ad installare i componenti cruciali solo se la vittima è considerata ‘degna’. Ciò aumenta l’efficacia di ogni singolo attacco, ma evita una diffusione inutile del malware, il che rende più difficile per i fornitori di protezione ottenere campioni per combatterlo.
Rompere la catena
Quindi, come proteggersi dagli attacchi a catena? Ancora una volta, dobbiamo tornare alla struttura del link. È fondamentale che le soluzioni di sicurezza utilizzate siano in grado di rilevare e arrestare separatamente tutti i componenti della catena. Ciò include tutti i tentativi di innalzare i privilegi, eseguire comandi senza il consenso dell’utente e scaricare file sospetti.
Naturalmente, i “file sospetti” sono un termine soggettivo e l’esempio di attacco Brain Test mostra quanto innocua possa apparire la fase di “attacco” di un attacco a catena. Una risposta potenziale a questa è l’implementazione di una soluzione di sicurezza che automaticamente metta in quarantena tutti i download tentati – se apps o allegati inviati tramite email al dispositivo – e li ispezioni in cloud per possibili comportamenti dannosi. Infatti, il controllo di un comportamento dannoso generale piuttosto che una corrispondenza con un database di malware conosciuto è particolarmente importante.
Chiaramente, questo tipo di monitoraggio richiede un’analisi continua dei dispositivi mobili, piuttosto che periodi di ispezione isolati. Tutte le applicazioni scaricate dovrebbero essere ispezionate, non solo per le singole firme binarie di malware conosciute, ma anche per l’analisi dei flussi di codice. Così come gli attacchi a catena tentano di ottenere privilegi di root, il monitoraggio della configurazione e dell’analisi del comportamento può aiutare a individuare quando e come questi tentativi vengano eseguiti.
Il punto cruciale da ricordare è che gli attacchi a catena sono la somma di parti separate e sofisticate – e i processi di sicurezza mobile devono trattarli come tali.