Telefoni sotto attacco: il nuovo ransomware per dispositivi mobili

Metodo di infezione

Questo malware induce gli utenti di smartphone a pensare che stiano scaricando software di cui hanno bisogno con nomi come aggiornamento flash player, video player, aggiornamento browser, aggiornamento del sistema o anche app porno. Le varianti più recenti sono preinstallate all’interno di altre applicazioni legittime.

Gli utenti sono indotti a scaricare l’applicazione da un sito Web oppure a ricevere l’applicazione come allegato email.

Comportamento del malware

Dopo l’installazione verrà visualizzato un falso avviso dell’FBI che informa l’utente di aver infranto la legge visitando alcuni siti pornografici illegali, che è stato individuato dalla “FBI Cyber Crime Unit” grazie ai servizi di localizzazione del telefono, che il telefono è stato bloccato e che è necessario pagare una multa di 500 dollari.

L’avviso occupa l’intero schermo del cellulare; anche i pulsanti Indietro e Home sono disabilitati.

Koler_01

La schermata mostra solo una parte del testo; scorrendo verso il basso, il testo recita così:

“As a result of full scanning of your device, some suspicious files have been found and your attendance of the forbidden pornographic sites has been fixed. For this reason your device has been locked. Information on your location and snapshots containing your face have been uploaded on the FBI Cyber Crime Department’s data center. First of all, familiarize with the positions stated in the section “The Legal Basis of Violations”. According to these positions your actions bear criminal character, and you are a criminal subject. The penalty as a base measure of punishment on you which you are obliged to pay in a current of three calendar days is opposed. The size of the penalty is $500

Attention! Disconnection of disposal of the device or your attempts to unlock the device independently will be apprehended as unapproved actions interfering the execution of the law of the United States of America (read section 1509 – obstruction of court orders and section 1510 – obstruction of criminal investigations). In this case and in case of penalty non-payment in a current of tree calendar days from the date of this notification, the total amount of penalty will be tripled and the respective fines will be charged to the outstanding penalty. In case of dissent with the indicted prosecution, you have the right to challenge it in court. To make a penalty payment, go to section “Payment Penalties”.

Per rendere il messaggio ancora più credibile, un’altra sezione mostra alcune informazioni personali come il numero di telefono dell’utente, il codice IMEI, l’indirizzo IP e la cronologia browser con il contenuto pornografico come “prova”.

Per incutere ancora maggior timore, il ransomware minaccia di prendere istantanee del viso dell’utente utilizzando la fotocamera frontale del telefono e di inviarle alla “FBI Cyber Crime Unit”.

Alcune varianti scattano effettivamente un’istantanea utilizzando la fotocamera frontale e la includono nella sezione sottostante.

Koler_02

Nella sezione Pagamento scopriamo che la “multa” deve essere pagata tramite Moneypak, un metodo di pagamento comodo per il ransomware dal momento che questo tipo di transazioni non può essere revocato come le normali transazioni bancarie.

Koler_03

Smontando il software scopriamo che è in grado di ricevere comandi remoti, come sbloccare il telefono o cancellare tutti i dati, ma alcuni utenti ci hanno riferito che pur pagando la multa il telefono non è stato sbloccato o il blocco è stato rimosso solo temporaneamente per poi ripresentarsi.

Koler_04

Metodo di disinfezione

Dopo aver assunto il controllo del telefono, il ransomware disabilita i normali comandi impedendo all’utente di scaricare un programma antivirus o di adottare altre contromisure per risolvere il problema.

L’unico modo per riacquistare il controllo del telefono è riavviarlo nella modalità provvisoria.

Ecco come avviare il telefono in modalità provvisoria per i modelli Galaxy S3, S4, HTC e Motorola. Per gli altri modelli potrebbe essere necessario cercare su Google:

S4 – 1. Spegnere il telefono. 2. Accendere il telefono e premere ripetutamente il pulsante “Menu”.

S3 – 1. Spegnere il telefono. 2. Accendere il telefono, quindi tenere premuto Abbassa volume (Galaxy S3 e altri), Alza volume (HTC One e altri) oppure Abbassa volume e Alza volume insieme (vari dispositivi Motorola) fino a che compare il logo del produttore.

Dopo essere entrato nella modalità provvisoria, puoi scaricare i file più importanti dal telefono ed eseguire un ripristino delle impostazioni predefinite, da solo o inviando il telefono al servizio di assistenza perché lo possa fare un esperto.

Come prevenire infezioni future

Il modo migliore per fare sì che questo ransomware non infetti più il tuo telefono è installare un software dallo store ufficiale Google Play. Per impostazione predefinita nei telefoni Android la funzione di installazione da altre fonti è disabilitata. Per questo motivo se provi a installare un’applicazione che non proviene da Google Play, il sistema visualizza il seguente avviso e per continuare a installare il software è necessario abilitare manualmente l’installazione da altre fonti:

Koler_05.png

Ti raccomandiamo di premere Cancel (Annulla) ogni volta che viene visualizzata questa finestra e di installare esclusivamente software da Google Play.

Altri modi per stabilire se l’applicazione ha intenti malevoli

Un modo per stabilire se un’applicazione abbia cattive intenzioni consiste nel vedere se all’installazione sono state richieste autorizzazioni insolite:

Koler_06

Ad esempio, questa app Video Player richiede di leggere i contatti e di essere eseguita all’avvio.

Un altro segnale di avvertimento è la richiesta da parte dell’app dell’accesso come Amministratore dispositivo. Non dovresti mai consentire questo tipo di accesso alle applicazioni perché questo potrebbe causare l’eliminazione definitiva di tutti i dati o la modifica delle tue password.

Koler_07

Dovendo affrontare un numero sempre maggiore di malware in grado di eliminare tutti i file dai dispositivi mobili, è consigliabile assicurarsi di non tenere informazioni essenziali *soltanto* sullo smartphone o sul tablet.

I contatti possono essere sincronizzati con l’account Google o iCloud e le foto, i video o altri file con noti provider di memorie cloud come Dropbox, Google Drive o OneDrive.

Questo articolo è disponibile anche in: Inglese