Check Point ha pubblicato il report The mobile malware landscape in 2022 – Of Spyware, Zero-Click attacks, Smishing and Store Security che mostra il panorama attuale delle minacce mobile.
Gli esperti sottolineano come gli attacchi informatici siano in continuo aumento. Il loro 2022 Mid-Year Report ha in effetti rilevato un aumento globale degli attacchi del 42% su base annua. E secondo il Global Risk Report 2022 del World Economic Forum, il 95% dei problemi di sicurezza informatica è riconducibile all’errore umano, che dovrebbe essere una bandiera rossa per tutte le organizzazioni, in particolare con il passaggio al lavoro da remoto e ibrido, dove i dipendenti utilizzano più spesso i dispositivi mobili. Questi dispositivi ora hanno accesso a dati aziendali sensibili e connettività diretta alla rete aziendale. Combina questo con l’ingrediente chiave dell'”errore umano” e vedrai perché i dispositivi mobili sono un obiettivo così importante per i criminali informatici.
Nonostante ciò, molte strategie aziendali di sicurezza informatica tendono a concentrarsi solo sugli endpoint tradizionali, come i laptop. Sai se tutti i dispositivi mobili della tua organizzazione sono al sicuro da malware? Forse hai Mobile Device Management (MDM) e pensi che sia abbastanza? Sfortunatamente, MDM non fornisce il rilevamento delle intrusioni o la scansione del malware. E con il panorama delle minacce mobili in continua evoluzione, non è mai stato così importante disporre di una soluzione solida.
Un’occhiata al panorama attuale e a cosa devi sapere per rimanere protetto nel 2022.
Fiorente mercato degli spyware
L’attuale panorama del malware mobile è un campo minato con sempre più vulnerabilità sfruttate e software spyware distribuito. Nell’ultimo report sulla sicurezza, Check Point ha notato che il famigerato spyware del gruppo NSO, Pegasus, stava seminando il caos dopo che è stato scoperto che stava ottenendo l’accesso ai dispositivi mobili di funzionari governativi e attivisti per i diritti umani. Sfortunatamente, il 2022 non è stato diverso, con Pegasus che ha scoperto di aver compromesso i dispositivi del Ministero degli Affari Esteri finlandese, del Primo Ministro spagnolo e diversi dispositivi di funzionari del Regno Unito.
A luglio, Apple ha introdotto una modalità di blocco – “lockdown mode” – per i suoi dispositivi per la protezione dagli hack di Pegasus. Anche se questa modalità aumenterà la sicurezza degli utenti che la utilizzeranno, ridurrà anche notevolmente l’esperienza utente e limiterà la funzionalità degli iPhone. Tuttavia, mentre Pegasus è uno degli strumenti più potenti attualmente sul mercato, anche l’ecosistema dei fornitori di sorveglianza è diventato più competitivo. Ad esempio, Predator, uno spyware prodotto dalla società di sorveglianza commerciale Cytrox, ha infettato gli iPhone verso la fine del 2021 tramite collegamenti con un solo clic inviati tramite WhatsApp. Ad oggi, la portata di questi strumenti, per non parlare dei loro meccanismi, non è ancora completamente compresa dalla comunità informatica nonostante gli ampi sforzi di ricerca.
Attacchi Zero Click
In termini di tecniche, quest’anno abbiamo assistito a un’impennata di attacchi zero-click scoperti . Come suggerisce il nome, questi attacchi non richiedono alcun input da parte della vittima prima di distribuire malware. Questo perché sfruttano le vulnerabilità esistenti nelle app già installate, consentendo agli attori delle minacce di oltrepassare di nascosto i sistemi di verifica e iniziare il loro attacco inosservati. Questa tecnica è particolarmente focalizzata su applicazioni che accettano ed elaborano dati, ad esempio piattaforme di messaggistica istantanea e di posta elettronica.
È stato visto in azione ad aprile, quando è stato scoperto un nuovo exploit iMessage a zero click sfruttato per installare Pegasus su iPhone, in esecuzione su alcune prime versioni di iOS. L’exploit chiamato HOMAGE è stato utilizzato in una campagna contro funzionari catalani, giornalisti e attivisti.
È importante sottolineare, tuttavia, che questa tecnica non è solo una minaccia per i leader mondiali, ma per la persona e le organizzazioni comuni. I nostri telefoni sono hub di dati riservati, sia dati personali come informazioni bancarie che dati aziendali, con molti dipendenti ora connessi alle reti della loro azienda e dati tramite i loro cellulari, che si sono moltiplicati durante la pandemia con migliaia di persone che lavorano da casa. I criminali informatici stanno utilizzando questa pratica silenziosa e persistente per ottenere il maggior accesso possibile.
Attacchi Smishing in aumento
Oltre agli attacchi Zero Click, gli esperti di Check Point hanno anche osservato un continuo aumento della tecnica di diffusione nota come “Smishing” (SMS Phishing), che utilizza i messaggi SMS come vettore di attacco per la distribuzione del malware. Questi tentativi spesso imitano marchi di fiducia o contatti personali per invogliare la vittima a fare clic su un collegamento o condividere dati personali in via riservata. Questo metodo si è dimostrato particolarmente efficace in quanto dopo che un dispositivo è stato compromesso, l’intero elenco di contatti è in palio, creando un ciclo infinito di possibili vittime.
Questo è il modo in cui il famigerato Flubot veniva comunemente distribuito. Dalla sua comparsa nel dicembre 2020, è stata considerata la botnet Android in più rapida crescita mai vista. Il gruppo è noto per essere particolarmente innovativo e cercare continuamente di migliorare le sue varianti, avendo mietuto decine di migliaia di vittime. Pertanto, a giugno, un’operazione di contrasto internazionale che ha coinvolto 11 paesi ha portato alla rimozione della sua infrastruttura e alla disattivazione del malware.
Evidentemente, la posizione di Flubot non poteva rimanere vacante per troppo tempo, poiché una nuova operazione di malware per Android chiamata MaliBot è emersa subito dopo. MaliBot sta prendendo di mira l’online banking e i cryptocurrency wallets in Spagna e in Italia, cercando di replicare il successo del suo predecessore. Al momento in cui scrivo, MaliBot è già il terzo malware mobile più diffuso al mondo, nonostante sia così nuovo, con AlienBot al primo posto.
Sicurezza sull’App Store?
Molti utenti si rivolgono agli application store per mantenere i propri dispositivi al sicuro, tuttavia, sfortunatamente ci sono app che affermano di aiutare a gestire i rischi per la sicurezza ma che spesso contengono esse stesse malware. Gli stores più sicuri come Google Play Store e Apple App Store hanno processi di revisione approfonditi per esaminare le candidature prima che vengano caricate e sono tenuti a standard di sicurezza elevati una volta che sono stati ammessi sulle piattaforme. Un recente report ha dichiarato che nel corso del 2021 Google ha bloccato 1,2 milioni di applicazioni sospette e Apple ne ha bloccate 1,6 milioni. Tuttavia, i criminali informatici intraprendenti cercano continuamente di aggirare queste misure di sicurezza, con tattiche diverse come manipolare il loro codice per passare attraverso i filtri o introdurre applicazioni inizialmente benigne e aggiungere elementi dannosi in una fase successiva.
Quindi, non sorprende trovare ancora applicazioni dannose nascoste in questi stores. In effetti, queste piattaforme rimangono i principali vettori di infezione nelle minacce mobili. Ad esempio, i ricercatori di Check Point hanno recentemente analizzato le applicazioni sospette sul Google Play Store e ne hanno trovate alcune mascherate da autentiche soluzioni antivirus, mentre in realtà, una volta scaricate le app, hanno installato un Android Stealer chiamato SharkBot che ruba credenziali e informazioni bancarie. E a febbraio, un Trojan bancario per Android chiamato Xenomorph è stato avvistato in agguato dietro una falsa applicazione di produttività sul Google Play Store. Ci sono stati oltre 50.000 download.
Va inoltre notato che, a causa della pandemia che ha alimentato l’uso crescente dei cellulari per motivi di lavoro negli ultimi due anni, sfruttare i telefoni cellulari per motivi di lavoro è diventata improvvisamente la nuova normalità per molti utenti e aziende, il che significava che prendere di mira i dispositivi mobili è diventato anche la nuova normalità per i criminali informatici. Sfortunatamente, la consapevolezza generale degli utenti di telefoni cellulari in merito agli attacchi alla sicurezza informatica è molto più bassa e, anche se molti di loro hanno iniziato a sfruttare i propri cellulari personali o forniti dal lavoro per scopi di lavoro, molti ancora non lo considerano un fattore sensibile ambiente aziendale, prestando meno attenzione alle e-mail o ai collegamenti dannosi che ricevono.
Sfortunatamente, il panorama delle minacce si sta evolvendo rapidamente e il malware mobile rappresenta un pericolo significativo per la sicurezza personale e aziendale, soprattutto perché i dispositivi mobili sono vulnerabili a diversi vettori di attacco, dall’applicazione alla rete e ai livelli del sistema operativo. Per combattere questo rischio, le organizzazioni dovrebbero anche cercare di instillare strategie proattive in grado di proteggere il personale e i dati aziendali da un potenziale attacco. Questo deve essere un viaggio continuo poiché i criminali informatici sono implacabili, adattandosi e migliorando sempre le loro tattiche.
Per gli utenti mobili stessi, consigliamo misure di sicurezza aggiuntive come il download di applicazioni solo da negozi certificati Google e Apple e anche durante il download da lì: esamina i consigli e il numero di download di una determinata applicazione per verificare che le applicazioni siano legittime. Gli utenti mobili dovrebbero adottare sui loro telefoni cellulari le stesse regole che hanno sui loro dispositivi desktop come non fare clic su collegamenti da mittenti sconosciuti, sia che arrivino tramite e-mail, messaggi SMS o applicazioni di messaggistica, e non scaricare file da fonti non attendibili.
Per alcune aziende può essere utile utilizzare l’aiuto di strumenti che rafforzano la resilienza degli endpoint e proteggono gli utenti remoti, concludono gli esperti di Check Point.
