checkpoint Archivi — Antonio Savarese

Il team di ricerca di Check Point Software Technologies, società israeliana specializzata in sicurezza informatica, ha messo a punto un’altra scoperta davvero interessante.

L’azienda ha, infatti, scoperto un’applicazione anti-virus mobile creata dal gruppo DU, sviluppatore di applicazioni Android, che raccoglieva i dati utente senza il consenso dei proprietari dei dispositivi. L’applicazione, chiamata DU Antivirus Security, era disponibile su Google Play, l’app store ufficiale di Google, ed è stata scaricata tra le 10 e le 50 milioni di volte.

Secondo Check Point, quando l’applicazione veniva eseguita per la prima volta, raccoglieva informazioni dal dispositivo, come identificatori univoci, elenchi di contatti, registri delle chiamate e potenzialmente la posizione del dispositivo. Queste informazioni venivano quindi crittografate e inviate a un server remoto. Le informazioni sui clienti venivano poi utilizzate in seguito da un’altra applicazione del gruppo DU, Caller ID & Call Block – DU Caller, che forniva agli utenti informazioni sulle chiamate in arrivo.

[amazon_link asins=’B016LPIKS6,B01N7OJY5A,B01LEICKTK,B00QE3UUVG,B007YCQMPY’ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’61e7f730-9e9f-11e7-b992-ab04f7068adb’]

Mentre gli utenti ponevano fiducia in DU Antivirus Security per proteggere le informazioni private, l’app Caller ID & Call Block – DU Caller faceva l’esatto contrario. Raccoglieva le informazioni personali dei propri utenti senza autorizzazione e utilizzava tali informazioni private per scopi commerciali. I dati relativi alle chiamate personali, a chi stava parlando e per quanto tempo sono stati poi registrati e utilizzati successivamente.

Check Point ha segnalato a Google l’utilizzo illegale delle informazioni private degli utenti lo scorso 21 agosto 2017 e l’applicazione è stata rimossa da Google Play il 24 agosto 2017. Una nuova versione dell’app che non include il codice dannoso è stata caricata poi il 28 agosto 2017.

Oltre a DU Antivirus Security, il team di ricerca di Check Point ha rilevato lo stesso codice in altre 30 app, 12 delle quali presenti su Google Play, che lo store ha successivamente rimosso. Queste applicazioni hanno probabilmente implementato il codice come una libreria esterna e hanno trasmesso i dati rubati allo stesso server remoto utilizzato da DU Caller. Nel complesso, il codice illecito ha interessato tra i 24 e gli 89 milioni di utenti che hanno installato queste applicazioni, secondo quanto riferito da Google Play.

Check Point raccomanda agli utenti che hanno installato DU Antivirus Security o qualsiasi altra applicazione di verificare che abbiano aggiornato l’app alla versione più recente che non include il codice. Poiché le applicazioni anti-virus godono del privilegio di richiedere autorizzazioni eccezionalmente estese, sono la copertura perfetta per i truffatori che intendono abusare di queste autorizzazioni. In alcuni casi, le applicazioni anti-virus mobili vengono utilizzate anche come esca per la distribuzione di malware.

Gli utenti devono essere consapevoli sull’esistenza di questi antivirus sospettosi e utilizzare soluzioni mobile threat prevention provenienti da vendor autorevoli in grado di proteggere i dispositivi mobili e i dati in essi memorizzati.

Maggiori informazioni tecniche sulla scoperta sono disponibili sul blog di Check Point al seguente link: https://blog.checkpoint.com/2017/09/18/does-your-mobile-anti-virus-app-protect-or-infect-you/

Secondo i dati Threat Index di maggio 2016, l’Italia è il secondo paese in Europa più colpito, mentre il malware bancario Tinba fa capolino tra i top 3 malware più diffusi

Check Point® Software Technologies Ltd. (NASDAQ: CHKP) pubblica l’ultima versione del Threat Index, che mostra un forte aumento a maggio, pari al 15%, delle varianti di malware attive a livello mondiale. Tra i paesi più minacciati l’Italia, seconda classificata in Europa, e trentesima a livello mondiale. Le minacce più significative rispecchiano le passioni dell’italiano medio: smartphone e siti di networking. Arrivano infatti da Conficker, worm che all’inizio della sua diffusione sceglie le sue vittime proprio su questo tipo di siti, come Facebook e Skype, e da Hummingbad, il malware nemico di Android. In ascesa le minacce bancarie: al terzo posto, infatti, spunta anche in Italia Tinba, il trojan che sfrutta l’exploit kit BlackHole e attacca principalmente i correntisti italiani e polacchi.

Check Point ha rilevato 2.300 diverse varianti di malware attive, che hanno attaccato le reti delle aziende durante il mese di maggio. Per il secondo mese di fila, i ricercatori hanno evidenziato un aumento delle singole varianti di malware, dato che già in aprile si era registrato un aumento del 50%. La crescita continua del numero di varianti di malware attive evidenzia la vasta portata delle minacce, e quindi delle sfide che i reparti di sicurezza informatica affrontano, quando prevengono un attacco ai dati riservati delle aziende.

Tra le minacce più temibili a livello mondiale:

Se, da un lato, Conficker è sempre il malware più usato nell’arco del periodo, il malware bancario Trojan Tinba è emerso come la seconda forma di infezione più utilizzata nel mese scorso, permettendo agli hacker di rubare le credenziali delle vittime attraverso web-injection, che vengono attivati quando gli utenti cercano di effettuare il log-in sui siti web bancari.

Gli attacchi contro i dispositivi mobili sono stati costanti, il malware Android HummingBad è ancora nella top 10 degli attacchi malware. Nonostante sia stato scoperto dai ricercatori di Check Point soltanto lo scorso febbraio, in breve tempo è diventato molto frequente, dimostrando che gli hacker vedono i dispositivi mobili Android come una falla di debolezza nella sicurezza delle aziende e come bersagli potenzialmente ad alta resa.

“Rileviamo costantemente un’impennata del numero di varianti di malware attive contro le reti aziendali, che è esemplificativo dell’impegno che gli hacker stanno dedicando a creare nuovi attacchi zero-day, oltre a dimostrare l’importanza della sfida che le aziende affrontano difendendo le loro reti dai cybercriminali”, dichiara Nathan Shuchami, head of threat prevention di Check Point. “Le organizzazioni devono valutare l’applicazione di soluzioni advanced threat prevention per le proprie reti, per gli endpoint, e per i dispositivi mobili, al fine di bloccare i malware allo stadio pre-infettivo, e garantire una sicurezza effettiva contro le minacce più moderne”.

A maggio, la variante più diffusa è stata Conficker, responsabile del 14% di tutti gli attacchi riconosciuti; mentre, le minacce che si posizionano al secondo e al terzo posto, Tinba e Sality, hanno causato ciascuna il 9% degli attacchi. Le varianti nella top ten hanno causato il 60% di tutti gli attacchi riconosciuti.

↔ Conficker – Worm che consente operazioni da remoto, download di malware e furto di credenziali disattivando i sistemi di sicurezza di Windows Microsoft. Le macchine infettate vengono controllate da una botnet, che contatta il server Command&Control, pronta a ricevere istruzioni.

↑ Tinba – Conosciuto anche come Tiny Banker o Zusy, Tinba è un trojan bancario che ruba le credenziali delle vittime sfruttando le web-injection. Si attiva non appena l’utente cerca di effettuare il log in sul sito web della propria banca.

↓ Sality – Virus che colpisce le piattaforme Windows e permette di eseguire operazioni da remoto e download di altri malware nei sistemi infetti. A causa della complessità e della facilità di adattamento che lo contraddistinguono, Sality è considerato da molti uno dei più pericolosi malware diffusi fino ad oggi.

Le varianti di malware per i dispositivi mobili sono sempre una grande minaccia per i dispositivi delle aziende, e il mese di maggio non ha fatto eccezione, con sei new entry tra le 100 varianti di malware più diffuse. La maggior parte di queste attacca Android, ma continua anche il trend già riscontrato in aprile, con diverse minacce rivolte al sistema iOS. Le tre varianti di malware per dispositivi mobili più pericolose sono state:

↔ HummingBad – Malware Android che istalla un rootkit persistente sul dispositivo, oltre a applicazioni fraudolente e, con poche modifiche, potrebbe innescare altre attività malevole, come l’installazione di key logger, il furto di credenziali, e scavalcare i sistemi di crittografia delle email utilizzati dalle aziende.

↔ Iop – Malware Android che consente di installare applicazioni e che visualizza pubblicità eccessiva utilizzando l’accesso root del dispositivo mobile. La quantità di annunci e applicazioni installate rende difficile per l’utente continuare a utilizzare il dispositivo come al solito.

↔ XcodeGhost – Una versione compromessa della piattaforma di sviluppo iOS Xcode. Questa versione non ufficiale di XCode è stata alterata, e inietta codice malevolo in tutte le app che sono state sviluppate e assemblate basandosi su questo servizio. Il codice iniettato invia le informazioni sull’app a un server C&C, consentendo all’app infetta di leggere la clipboard del dispositivo.

Il Threat Index di Check Point

Il threat index di Check Point si basa sulla threat intelligence della ThreatCloud World Cyber Threat Map, che monitora come e dove si stanno svolgendo i cyberattacchi nel mondo in tempo reale. La Threat Map si avvale dell’intelligence ThreatCloud^TMdi Check Point, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

Tag: checkpoint

Le app antivirus ti proteggono o ti infettano? La recente scoperta di Check Point

L’Italia è terreno fertile per hacker e malware