Gli smartphone sono, o meglio, i dispositivi mobili sono diventati di interesse per il campo della sicurezza. Nel 2004, il vecchio sistema operativo Symbian, ve lo ricordate?  

Il primo caso noto di malware fu Cabir (conosciuto anche come Caribe ); questo malware è classificabile come worm e girava su Symbian OS con processori ARM, combinazione che si trovava solamente negli smartphone Nokia. Questo worm nella prima versione si diffondeva entro 10 metri con il bluetooth. 

Il ricevente doveva comunque accettare la richiesta ed eseguire il file per poter essere infettato, iniziando a sua volta a cercare altri smartphone da infettare. Pensate che questo è il motivo per cui adesso l‘impostazione di default del bluetooth è l’invisibilità, una versione successiva ha guadagnato l’abilità di diffondersi tramite MMS. 

Il malware era innocuo, diversamente da quelli che girano oggi per la rete, causava solo un grande consumo di batteria dovuto alla forsennata ricerca di dispositivi da interrogare. 

Questo era solo un proof-of-concept che ha dato il via ad una lunghissima lista di programmi malevoli. 

Skull 

Sempre per Symbian, stavolta versione 60, abbiamo Skull, un trojan. Distribuito come pacco di icone, il simpatico esemplare rendeva il telefono… un telefono. 

Le icone venivano rimpiazzate con dei teschi  

Le applicazioni soprascritte con il codice del malware, le uniche app disponibili rimanevano il telefono e gli sms.

Nel 2010 spunta il primo malware pericoloso per davvero, in quest’anno la diffusione di Symbian cominciava ad arrestarsi e per la prima volta Android lo supera per numero di vendite. Il periodo di passaggio fra i “feature phone” (smartphone dotati di accessori quali, una fotocamera una torcia o la radio-fm, diavolerie tecnologiche per l‘epoca) cominciavano a lasciare il passo agli smartphone e… al primo malware ruba soldi.

FakePlayer

FakePlayer è stato il primo malware travestito da applicazione lecita, il cui scopo era quello di contattare numeri premium al costo di 5 euro a sms.

L’icona dell’app era quella di windows media player e il nome semplicemente “Media Player”.

Una volta aperto una scritta in russo compariva all’utente e venivano mandati i primi sms.

Era un malware piuttosto semplice derivate dall’ “hello word” google, mantenendo addirittura lo stesso pacchetto di default “org.me.androidapplication1”. Data la sua semplicità poteva essere replicato da qualsiasi sviluppatore principiante. Cosi come Cabir ha aperto nuovi orizzonti alla programmazione malware.

L’utente viene avvisato della possibile perdita di denaro causato da fakeplayer

HummingBadr  

Dopo altri sei anni (2016) è stato diffuso il primo adware in grado di cliccare i propri annunci. Creato da la compagnia pubblicitaria YingMob per cliccare i suoi stessi banner pubblicitari.Oltre a mostrare annunci installava anche applicazioni fraudolente. Il malware, una volta installato, presentava un comportamento estremamente complesso svolgendo determinate azioni in risposta al comportamento dell’utente: 

venivano intercettati 3 tipi di intent  

user present – lo schermo viene sbloccato 

boot completed – il telefono ha finito di accendersi 

screen on – lo schermo viene acceso (senza password) 

questi attivano un servizio chiamato ”Se” che mostra un messaggio pubblicitario 

l’app impedisce qualsiasi tipo di evasione intercettando gli intent “KeyDownEvent” corrispondenti alla pressione di tasti fisici, infatti vengono intercettati i keycode home, back e menu. L’utente trovando impossibilitato a fare altro, deve necessariamente aprire l’annuncio. Nel caso l’utente cercasse di cliccare fuori dal banner o di chiuderlo, il click veniva registrato come al centro dell’annuncio trasportando l’utente ad una destinazione non richiesta. 

Anche in questo caso l’utente viene avvertito durante l’installazione dal sistema operativo, in quanto per eseguire questa azione è richiesto il permesso “disegna sopra altre app” che consegna il controllo definitivo dell’input utente all’attaccante. Di questo altri permessi parleremo nella prossima puntata ma il messaggio ormai sembra chiaro: 

l’utente viene avvertito. 

È necessaria la pressione del tasto accetta per attivare i malware almeno su smartphone quindi leggete bene cosa cliccate. Vi lasciamo con un'infografica riassuntiva dell’evoluzione, è un po’ vecchia ma rimane comunque molto attuale 

e fateci sapere sui nostri social se siete interessati a conoscere atro sulle storia e l’evoluzione dei malware!

Tweet