Un nuovo virus (ransomware) si diffonde via SMS, come funziona?

In questi giorni, sulle testate giornalistiche, si legge di un nuovo malware, per la precisione un ransomware, in grado di diffondersi via SMS e di riuscire ad infettare qualsiasi telefono basato su Android (Samsung, Huawei, etc…). L’allarme è stato lanciato da Eset, società di sicurezza informatica, i quali hanno evidenziato alcuni dettagli di questo codice maligno. Fortunatamente, è più allarmismo che un rischio reale e tra poche righe vi spiegherò il perché.
Prima di tutto, non sottovalutiamo, in ogni caso, i danni che un eventuale App maligna potrebbe causare, anche se, come vedremo tra poco, l’infezione non è così immediata come potremmo pensare (vi accenno che non basta aprire l’SMS per ritrovarsi con lo smartphone infettato, come alcuni articoli hanno riportato). Ho visto infatti computer, smartphone, tablet ed intere reti informatiche aziendali ritrovarsi invase da trojan di ogni tipo perché qualche dipendente credulone ha aperto gli allegati sbagliati. Come al solito, l’anello debole del sistema si trova tra la sedia e la tastiera ed è proprio su questo concetto che si basa l’attacco ransomware che si diffonde via SMS.

Ma come funziona questa diffusione, se non basta aprire l’SMS per ritrovarsi il telefono Android infettato? Andiamo per gradi.
Prima di tutto, l’infezione e la diffusione da parte di questo ransomware è partita da alcuni utenti che hanno scaricato questo virus da un forum dedicato agli sviluppatori per Android e probabilmente anche dagli stessi sviluppatori che hanno inviato i primi SMS. L’SMS, infatti, è il mezzo di diffusione.
Una volta infettato un dispositivo, il ransomware invia a tutta la rubrica un messaggio di testo (all’interno del codice sorgente, i ricercatori hanno scoperto che sono disponibili testi in ben 42 lingue, così che il codice maligno possa scegliere quello qui adatto in base alla lingua utilizzata sullo smartphone infettato) che invita il destinatario a visionare un link nel quale sono presenti alcune sue foto private.

Alcune delle 42 lingue utilizzate dal ransomware per inviare SMS

A questo punto, qualsiasi persona con un po’ di buon senso (e spesso basta questa per avere un buon livello di sicurezza informatica personale), non farebbe mai click sul link ricevuto, anche se il mittente è un caro amico. O quanto meno, un utente con un’intelligenza nella media, alzerebbe il telefono per capire cosa sta succedendo. Sfortunatamente non è così, infatti, il primo passo per iniziare l’infezione del proprio smartphone è quella di fare click sul link, il quale scaricherà un’applicazione sul dispositivo.
Ma ancora l’infezione non è avvenuta. Infatti, una volta scaricato il file, l’utente dovrà fare click su quest’ultimo per poterlo installare. O meglio, per far partire l’installazione, la quale è composta da una serie di step, in cui l’utente dovrà confermare la sua volontà a procedere con l’installazione di un’app potenzialmente pericolosa.
Ma non soltanto: dato che gli sviluppatori di Android (Google, ndr) non sono gli ultimi arrivati, e sanno bene che non tutti gli utenti utilizzano il buon senso davanti ad un dispositivo tecnologico, hanno implementato un sistema di sicurezza aggiuntivo, il quale, ancor prima dell’installazione, chiede all’utente di dover abilitare manualmente l’impostazione “Installa applicazioni da terze parti”, ovvero di permettere allo smartphone di installare applicazioni non scaricare dal Play Store, ma da un sito Web qualsiasi, come in questo caso.

All’interno delle impostazioni di Android è necessario attivare la voce “Origini sconosciute” per poter installare applicazioni che non si trovano sul Play Store, dove vengono verificate prima di essere messe a disposizione degli utenti

Ecco, adesso capite perché non è così banale installare un ransomware che arriva mediante SMS? Eppure, nonostante questo, qualche “pollo” (perdonatemi, ma qui l’aggettivo è più che corretto) non soltanto ha scaricato l’applicazione perché inviata da un mittente amico, ma ha anche disattivato il sistema di sicurezza “anti-stupido” (l’installazione da sorgenti sconosciute) implementato su Android ed ha confermato in più passaggi di voler deliberatamente installare l’App in questione, nonostante fosse segnalata come pericolosa.

Una volta infettato lo smartphone, il ransomware chiede il pagamento di un riscatto

Ora, in realtà direi che una persona si meriterebbe di essere infettata da un virus nonostante i mille sforzi nel dissuaderla ad installare qualcosa di pericoloso, ma non posso 😀
Cosa accade, quindi, una volta infettati da un ransomware? Quello che accade sempre con questa tipologia di virus: la richiesta di un riscatto. Il codice maligno andrà infatti a cifrare tutti i file presenti sullo smartphone, chiedendo un riscatto in Bitcoin al fine di ottenere la chiave di decodifica. Il tempo a disposizione è ovviamente limitato e per la precisione le ore a disposizione sono 72. Dopo tale lasso di tempo, l’app cancellerà tutti i file, anche se, facendo una ricerca su Internet, alcuni programmatori ed esperti in sicurezza informatica non hanno rinvenuto all’interno del ransomware il codice che proceda effettivamente con la cancellazione dei file.

Vi lascio con qualche piccolo dettaglio sul nostro caro ransomware:

  • Non vengono cifrati file di grandi dimensioni (oltre i 50MB) ed immagini di piccole dimensioni (meno di 150KB)
  • Nell’elenco dei file da crittografare mancano alcune estensioni tipiche di Android
  • Il ransomware non impedisce agli utenti di accedere al dispositivo
  • La somma del riscatto non è fissa: viene generata in maniera casuale tra 0.01 e 0.02 Bitcoin (tra 80 e 160 Euro, circa)
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Articoli simili
Continua

Recuperare messaggi Whatsapp

Nell’articolo di oggi andremmo a vedere come recuperare messaggi Whatsapp, anche se cancellati, dal proprio smartphone, sia esso…