La rapida espansione dei telefoni cellulari, e la loro evoluzione nei cosiddetti smartphone (dispositivi in grado di accedere ad Internet e comunicare tra loro in modi sempre più complessi), ha portato gli esperti di sicurezza a considerare il problema del malware anche nel mondo mobile. Negli ultimi anni infatti la crescita del mercato degli smartphone è stata notevole, e dobbiamo considerare che sono attualmente presenti al mondo più di tre miliardi di utenze cellulari attive: sicuramente un numero di potenziali target che non è sfuggito al mondo del cybercrimine.
I pericoli oggi
Al momento il numero di malware dichiarati nel mondo mobile è dell'ordine delle centinaia di unità, e considerando che in molti casi si tratta di software proof of concept o poco più, il problema può sembrare sorvolabile. Tuttavia, bisogna considerare che la crescita del fenomeno del mobile malware è per forza di cose proporzionale a due fattori: la diffusione di smartphone tra gli utenti cellulari e la possibilità di un ricavo economico dalla creazione di virus pensati per questi dispositivi. Entrambi i fattori sono in crescita, grazie alla progressiva sostituzione dei vecchi sistemi chiusi con i nuovi smartphone "tuttofare", e alla messa in pratica di servizi che consentono, ad esempio, lo scambio di denaro via SMS (i cosiddetti portafogli mobili).
I pericoli a cui si va incontro nel mondo mobile possono essere di diverso tipo: malfunzionamento del telefono, fino alla totale inutilizzabilità dello stesso (denial of service), perdita economica a causa di servizi a pagamento non sollecitati dall'utente (ad esempio l'invio in automatico di MMS o SMS da parte di un worm o di un trojan), perdita o furto di informazioni personali o comunque sensibili contenute nel telefono (rubrica, messaggi, ma anche dati aziendali), fino ad arrivare al rischio di spionaggio delle proprie attività e al problema di potersi trasformare in un vettore di infezione per i dispositivi delle persone che ci circondano, o addirittura dell'azienda in cui lavoriamo.
Come sempre accade, le tecniche di diffusione dei malware si basano sul social engineering o sullo sfruttamento di vulnerabilità software. Nel mondo mobile è stato finora soprattutto il social engineering a farla da padrone, con worm propagati via bluetooth che ottenevano il consenso dell'utente o trojan nascosti in software dichiarati come utili e affidabili. Tuttavia, con l'evoluzione tecnica degli smartphone, non è da escludersi una diffusione di malware in grado di sfruttare le vulnerabilità scoperte nei sistemi operativi o nei programmi installati su cellulare, come ad esempio il ben noto bug di Safari su iPhone o il recente problema nella gestione degli SMS di Symbian, o ancora la falla nelle librerie per il multimedia di Android.
Le piattaforme colpite: Symbian
Vediamo qualche esempio pratico partendo proprio da Symbian, il primo sistema operativo per smartphone ad essere attaccato da un worm, nel lontano 2004. Cabir si replicava via bluetooth, senza però commettere ulteriori azioni dannose, risultando quindi un semplice proof of concept. Nello stesso anno, si diffusero Mosquit, un trojan nascosto in una versione del videogioco Mosquitos, che inviava SMS a numeri a pagamento, e Skuller, un altro trojan che, anziché offrire nuovi sfondi e icone, rendeva semplicemente inutilizzabili tutte le funzioni del cellulare eccetto la telefonia. Discorso simile per Locknut, che bloccava il telefono dopo un riavvio, e per diversi altri trojan di quel periodo.
Nel 2005 sarebbe invece arrivato Commwarrior, il primo malware a propagarsi anche via MMS, con conseguenze evidenti sulle tariffe; alcune varianti erano in grado di disabilitare completamente il dispositivo. Nello stesso anno PBStealer si dimostrò in grado di registrare in un file tutti i contatti della vittima e di inoltrarli via bluetooth ai dispositivi raggiungibili. In quegli anni Symbian era il sistema operativo più diffuso su smartphone, e i primi malware sfruttavano sia qualche vulnerabilità tecnica sia semplicemente la psicologia della vittima, indotta ad eseguire i file ricevuti (e aiutata dal fatto che Symbian processava in automatico tutto ciò che veniva recapitato in inbox).
Nel 2006 il malware per Symbian diventa commerciale: Flexispy viene venduto al prezzo di 50 USD e consente di visualizzare informazioni riguardo le chiamate e gli SMS e MMS inviati dal telefono infetto, mentre Acallno offre funzionalità simili, inoltrando gli SMS inviati e ricevuti dal dispositivo vittima a quello dell'attaccante. Non solo: Mobler si dimostra in grado di replicarsi via memory card e di infettare un PC con Windows a cui venga connesso uno smartphone infetto.
Nel 2008, Symbian si è rivelato vittima di una nuova famiglia di virus: Beselo, un trojan rilevato in Cina che una volta infettato il telefono memorizza i numeri della rubrica e si propaga via MMS o bluetooth (spacciandosi per un file multimediale dal nome "Beauty.jpg", "Sex.mp3" o "Love.rm"), e relative varianti. Tuttavia, con il rilascio della piattaforma S60 3rd Edition, diventa impossibile installare sul telefono un software che non sia dotato di certificato Symbian, il che impedisce l'installazione di qualunque malware finora scoperto; l'unico modo di aggirare questo sistema di protezione è sfruttare l'interprete python (non incluso di default in Symbian): Flocker è infatti un trojan in più varianti scritto in python che sfrutta gli SMS per guadagnare denaro.
Di particolare interesse il caso sollevato all'inizio del 2009 in Indonesia, dove malware di questo tipo ha sfruttato un particolare numero telefonico di un provider locale pensato per lo scambio di fondi (i portafogli mobili di cui parlavamo in apertura), trasferendo piccole somme di denaro da un'ingente base installata. Resta inteso che l'uso di cellulari con S60 2nd Edition o con S60 3rd Edition hackata (ossia col sistema di sicurezza disattivato) non sono protetti dal severo sistema di certifica di Symbian e risultano quindi vulnerabili a qualunque tipo di eventuale malware.
Le piattaforme colpite: Windows mobile, J2ME e iPhone
Windows Mobile è stato, assieme a Symbian, il precursore dei sistemi vittime di mobile malware, ovviamente grazie alla sua diffusione. Nel 2004, Duts e Brador furono rispettivamente il primo worm per smartphone in grado di infettare i file di sistema e la prima backdoor per smartphone, che avvisava l'attaccante quando il sistema vittima era connesso ad Internet e consentiva l'accesso alla porta 2989 per l'amministrazione remota della macchina infetta. Nel 2006 Letum era in grado di sfruttare l'email per diffondersi, mentre Cxover fu il primo worm multipiattaforma: se lanciato su mobile tentava di copiarsi su PC, e se lanciato su PC tentava di copiarsi su mobile, sfruttando ActiveSync.
Nel 2008 Infojack si rivela un trojan piuttosto interessante e pericoloso: diffuso attraverso un sito cinese di distribuzione di applicazioni mobile, il trojan, nascosto in normalissimi applicativi, ha lo scopo di raccogliere informazioni sui visitatori di quel sito. Una volta installato, oltre ad inviare informazioni, Infojack si occupa anche di disabilitare il controllo dei certificati per poter eventualmente scaricare ed installare altro malware sul telefono.
Nel 2006 J2ME inizia a divenire una piattaforma vulnerabile al malware, con le prevedibili nefaste conseguenze del funzionamento anche su telefoni cellulari standard (non "smart"). RedBrowser e Wesber sono due trojan scoperti in Russia, che, una volta installati, inviano SMS a un numero a pagamento (attivo ovviamente in Russia) facendo scalare in totale 15 o 20 dollari dal conto del telefono infetto. Più recentemente, il 2008 ha visto la diffusione di Smarm, Swapi ed SMSFree: tre trojan horse russi molto simili nel funzionamento a RedBrowser e Wesber. I cosidetti Trojan-SMS per J2ME sono quadruplicati in numero nel 2008, e ad oggi rappresentano forse la minaccia maggiore nell'ambito del mobile malware. A inizio 2009 è apparso infine GameSat, un trojan per J2ME del tutto simile nel funzionamento a Flocker su Symbian: sfruttando il servizio di scambio di denaro via SMS offerto da un provider indonesiano, GameSat trasferisce fondi dal conto della vittima a quello dell'attaccante.
L'iPhone è una piattaforma giovane e che ha fatto molto parlare di sé in tempi recenti. La politica di Apple segue il sistema basato su certificazione obbligatoria implementato da Symbian su S60 3rd Edition: benché gli intenti di Apple non siano certamente solo security-related, questo tipo di chiusura rende altamente improbabile l'installazione di malware su un iPhone, dato che un virus dovrebbe passare sotto certifica Apple, con tutte le conseguenze del caso, per essere installato. Come per i cellulari con Symbian, anche per iPhone vale la regola che i telefoni "hackati" sono invece vulnerabili e, con statistiche che parlano del 50% di iPhone sul mercato col sistema di sicurezza disabilitato, la cosa non è da sottovalutare. Infatti, il 2008 ha visto la comparsa di un trojan per iPhone installato come applicazione di terze parti su telefoni unlocked: poco più di un proof of concept, ma la cosa deve comunque far riflettere.
Come proteggersi
Come abbiamo vista nella prima parte di questo articolo, il panorama dei virus per cellulari risulta piuttosto astratto. Finora la maggior parte delle minacce differenti da semplici proof of concept sono comunque rimaste geograficamente localizzate, perlopiù in Russia e in Cina. Tuttavia non è assolutamente da escludersi una crescita del fenomeno e della sua pericolosità, vista l'espansione degli smartphone e dei servizi finanziari da essi accessibili, per arginare le quali è necessaria la partecipazione di diverse entità.
In primo luogo la distribuzione e la certificazione del software devono essere orientati al controllo e alla centralizzazione, per fornire una maggiore sicurezza all'utente finale: un sistema chiuso, in cui ogni applicazione debba essere certificata e distribuita solo attraverso uno store centralizzato (come nel caso di Apple per iPhone) offre maggiori garanzie rispetto alle piattaforme dove la certificazione risulta facoltativa o del tutto assente (Windows Mobile, J2ME), le applicazioni vengono distribuite attraverso portali non ufficiali (vedasi il caso di trojan come Infojack), oppure nel caso in cui i controlli sui software presenti sullo store ufficiale possano essere carenti (vedasi il recente caso di MemoryUp Personal su Android). Ovviamente i provider possono fare controlli a monte sul traffico GPRS/3GPP/MMS, per filtrare eventuali allegati malevoli.
E gli utenti cosa dovrebbero fare? È importante, come sempre, agire con accortezza. Se il telefono prevede un sistema di certificazione obbligatorio (come nel caso di S60 3rd e Apple), disattivarlo rende il dispositivo vulnerabile al malware. Su S60 3rd, gli applicativi eseguiti dall'interprete python aggirano il sistema di certifica e come tali andrebbero considerati inaffidabili. Scaricare il software da siti non ufficiali (portali sospetti o reti p2p) espone al rischio di infezione da trojan horse.
Se un programma richiede accessi sospetti, non è il caso di concederglieli. Il bluetooth andrebbe tenuto disattivo, o alla peggio bisognerebbe rendere il telefono "non visibile" - un escamotage inefficace contro alcuni tipi di attacco ma senz'altro efficace contro la propagazione del malware. In caso di infezione da worm noti, sono presenti dei tool di rimozione gratuiti, qui ad esempio quelli proposti da F-Secure. Esistono infine diverse suite antivirus per cellulare, e potrebbe essere indicato installarne una se la vostra piattaforma è vulnerabile: vediamo rapidamente qualche proposta.
Gli antivirus per cellulari
Kaspersky Anti-Virus Mobile, dal costo di circa 25 EUR, consente un controllo costante di tutti i canali di infezione (SMS, MMS, email, bluetooth), oltre a scansioni manuali e programmate, e filtri antispam basati su blacklist. Gli aggiornamenti possono essere scaricati sia via cellulare, sfruttando connessioni GPRS, UMTS, o affini, sia da PC.
F-Secure Mobile Security, licenza annuale di circa 40 EUR, include funzionalità di antifurto (blocco remoto di un dispositivo smarrito o rubato), scansione antimalware e firewall, e consente l'aggiornamento delle firme sia via connessione dati sia attraverso un SMS.
Norton Smartphone Security, 30 EUR circa, comprende funzioni di antivirus, firewall e filtri antispam simili a quelle viste in precedenza.
McAfee Mobile Security offre invece soluzioni mirate per i carrier, i produttori, i portali e le imprese. I prodotti elencati sono disponibili sia per Symbian sia per Windows Mobile.
Sicuramente i prossimi mesi saranno interessanti dal punto di vista del mobile malware, vista l'evoluzione del mercato e l'introduzione di nuove piattaforme ancora relativamente giovani come Android, BlackBerry, Palm webOS, iPhone. Mantenersi costantemente aggiornati, in uno scenario dall'equilibrio così instabile, non può che giovare.
