Skygofree: ecco il trojan spione che colpisce solo l’Italia

skygofree
A fine 2017 Kaspersky Lab ha scoperto Skygofree, un trojan “spione” che colpisce per lo più smartphone Android e che per ora è attivo solo in Italia.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Quasi tutti i trojan in circolazione hanno in comune più o meno le stesse caratteristiche. Dopo essersi insinuati nei dispositivi, possono appropriarsi delle informazioni di pagamenti del proprietario, effettuare il mining di criptomonete al posto del cybercriminali oppure cifrare i dati e richiedono un riscatto. Tuttavia, alcuni trojan posseggono capacità che ricordano film di spionaggio degni di Hollywood.

Di recente Kaspersky Lab ha scoperto Skygofree, trojan dalla natura quanto mai sfaccettata che può, ad esempio, rintracciare l’ubicazione di un dispositivo su cui è installato e attivare la registrazione audio quando il proprietario del dispositivo si trova in un determinato luogo. In questo modo i cybercriminali possono ascoltare ciò che succede quando la vittima si trova in ufficio o a casa del proprio capo.

Un’altra tecnica interessante impiegata da Skygofree è la connessione (senza che l’utente se ne accorga) dello smartphone o del tablet infetto a una rete Wi-Fi controllata dai cybercriminali, anche quando il proprietario ha disattivato le connessioni Wi-Fi sul dispositivo. In questo modo i cybercriminali possono raccogliere e analizzare il traffico e sapere esattamente quali siti sono stati visitati dall’utente vittima, cosi come le sue credenziali di accesso, password e numeri di carte di credito.

Skygofree, che per ora sembra aver contagiato solo dispositivi Android, possiede anche un paio di funzionalità che gli consentono di operare in modalità standby. Ad esempio, l’ultima versione di Android può fermare automaticamente i processi non attivi per risparmiare batteria, ma Skygofree è in grado di superare questo ostacolo inviando notifiche di sistema. Inoltre, su una delle marche più famose di smartphone (Huawei) dove le app preferite sono disponibili quando lo schermo è spento, Skygofree si aggiunge automaticamente alla lista di queste app.

Skygofree può monitorare app popolari quali Facebook Messenger, Skype, Viber e WhatsApp e, a proposito di quest’ultima, gli sviluppatori sono stati piuttosto abili. Il trojan infatti legge i messaggi Whatsapp mediante i servizi di accessibilità rivolti a non vedenti e non udenti per controllare i dispositivi infetti.

Skygofree

Si tratta di una sorta di “occhio digitale” che legge ciò che c’è sullo schermo e, nel caso di Skygofree, raccoglie i messaggi WhatsApp. L’uso dei servizi di accessibilità richiede l’autorizzazione dell’utente, ma il malware nasconde questa autorizzazione all’interno di altre richieste apparentemente innocenti.

Infine, ultimo ma non meno importante, Skygofree può attivare segretamente la fotocamera frontale e scattare una foto dell’utente quando sblocca il dispositivo, immagini che i cybercriminali possono utilizzare chissà in quanti modi. Pur essendo innovativo in certi aspetti, questo trojan possiede anche funzionalità classiche e può così intercettare chiamate, SMS, annotazioni sul calendario e altri dati dell’utente.

Anche se Kaspersky Lab l’ha scoperto solo alla fine del 2017, è emerso che i cybercriminali si servono di Skygofree già dal 2014. Durante gli ultimi tre anni si è evoluto da un malware come gli altri a uno spywall articolato e multifunzione che si diffonde mediante siti falsi di compagnie telefoniche per dispositivi mobili (Tre e Vodafone per la precisione). Skygofree si spaccia infatti per un aggiornamento in grado di aumentare la velocità di Internet sul telefono.

Se l’utente abbocca e scarica il trojan, appare una notifica in cui si avvisa che la configurazione delle impostazioni è in corso e, nel frattempo, Skygofree si nasconde agli occhi dell’utente e richiede ulteriori istruzioni al command server. A seconda della risposta, si scaricano diversi payload. Per ora i ricercatori di Kaspersky Lab hanno individuato solo poche infezioni ma, purtroppo, tutte in Italia.

Per evitare di rimanere vittime di Skygofree, Kaspersky consiglia di installare app solo dagli store ufficiali, di prestare attenzione a errori di ortografia nei nomi delle app e di controllare se l’app ha un numero esiguo di download o se richiede autorizzazioni sospette, oltre a utilizzare applicazioni di sicurezza mobile (per esempio Kaspersky Internet Security for Android o Kaspersky Security for Mobile per gli utenti business) che proteggono da app e file dannosi, da siti Internet sospetti e da link pericolosi.

AndroidKaspersky LabMalwareskygofreetrojan
// Data pubblicazione: 19.01.2018
Condividi:
 

Come proteggere i PC Windows 10 dal ransomware: guida per utenti e amministratori

ransomware
Per contrastare i ransomware, Windows 10 propone un utile strumento per utenti e admin integrato nel Fall Creators Update. Ecco come sfruttarlo al meglio.
Redazione DigitalWorld Italia

DigitalWorld è il magazine online per chi in azienda crea, gestisce, acquista o utilizza prodotti e servizi informatici e digitali. Con aggiornamenti quotidiani, è il punto di riferimento per notizie,... Leggi tutto

CryptoLocker, WannaCry, Petya, Bad Rabbit. La minaccia portata dai ransomware non scomparirà certo e, anzi, nel 2018 si attendono nuove ondate di attacchi che prenderanno “in ostaggio” centinaia di migliaia (se non milioni) di computer in tutto il mondo.

Per fortuna, nonostante una simile minaccia spaventi giustamente moltissimi utenti, ci sono diversi strumenti, uno dei quali già integrato già in Windows 10, in grado di proteggersi dai ransomware, sebbene questo speciale dia per scontato che conosciate già le regole base per evitare di rimanere infettati da un malware (software anti-malware, evitare di aprire allegati sospetti, ecc.).

Usare Accesso controllato alle cartelle

Untitled-1

Il tool di Windows 10 a cui ci riferiamo è stato inserito da Microsoft con l’aggiornamento Fall Creators Update (versione 1709) dello scorso ottobre e si tratta dell’Accesso controllato alle cartelle, uno strumento che protegge il vostro PC permettendo solo ad applicazioni sicure e certificate di accedere ai vostri file. Di default questa funzione non è attiva e quindi, se volete utilizzarla, dovete prima di tutto andare in Impostazioni e cliccare su Aggiornamento e sicurezza.

Una volta che siete qui, cliccate sulla voce Windows Defender e quindi su Apri Windows Defender Security Center. Ancora un click su Protezione da virus e minacce e quindi su Impostazioni di Protezione da virus e minacce. Ora scendete fino alla voce Accesso alle cartelle controllato (che troverete come Disattivato), attivatelo cliccando sul toggle e confermate la modifica appena fatta.

Anche facendo così però, non sarete del tutto al sicuro visto che alcune cartelle che volete proteggere potrebbero essere ignorate da questa funzione. Di default infatti Accesso alle cartelle controllato protegge le cartelle (e le sottocartelle) di sistema di Windows, ma tutte le altre rimangono potenzialmente attaccabili da un ransomware, comprese ad esempio quelle di OneDrive (omissione non da poco visto che parliamo di un importante servizio di Microsoft).

Se quindi volete aggiungere altre cartelle da proteggere, basta cliccare sul link Cartelle protette che appare dopo che avete attivato la funzione. Da qui cliccate sul pulsante Aggiungi una cartella protetta, scegliete la cartella e confermate la modifica. Tenete conto che, aggiungendo una qualsiasi cartella, anche le relative sottocartelle vengono protette automaticamente e non c’è quindi bisogno di sceglierle singolarmente. Se poi voleste togliere dalla lista una delle cartelle che avete aggiunto manualmente, basta tornare alla schermata Cartelle protette, scegliere quella (o quelle) che volete escludere e fare click su Rimuovi.

Microsoft non ha pubblicato una lista con le applicazioni che possono accedere alle cartelle protette e quindi, se avete una o più app che ritenete affidabili e volete che accedano a una cartella protetta, dovete aggiungerla manualmente. Per farlo, tornate alla schermata di Windows Defender Security Center e, sotto la voce Accesso alle cartelle controllato, cliccate su Consenti app tramite accesso alle cartelle controllato. Da qui scegliete i file exe delle applicazioni a cui volete concedere l’accesso, fate click su Apri e confermate la scelta. Solitamente le cartelle delle applicazioni e i relativi file exe si trovano in C:\Programmi o in C:\Programmi (x86).

Eseguite un back up… nel modo giusto

win10_ransomware_onedrive_backup-100745730-large

Lo scopo finale di un ransomware è tenere in ostaggio i vostri file e le vostre cartelle, che così non diventano più accessibili a meno che non paghiate il riscatto richiesto, ma nemmeno in questo caso si ha la certezza assoluta di risolvere il problema. Ecco perché la pratica del back up diventa ancora più necessaria, in modo da avere sempre a disposizione una copia di tutti i file a cui accedere anche se foste colpiti da un ransomware.

Anche in questo caso però bisogna seguire alcune regole per eseguire il tutto nel modo migliore. Per prima cosa è meglio utilizzare un servizio di cloud storage su cui copiare i vostri file e non limitarsi al classico back up su un hard disk esterno (c’è sempre il rischio infatti che anche questo finisca vittima del ransomware quando è collegato al PC infetto).

Assicuratevi che il servizio di cloud storage che utilizzate offra il versioning, ovvero che conservi non solo l’ultima versione dei file ma anche quelle precedenti. In questo modo se la versione più recente dei file rimane infetta, potete avere accesso a quelle precedenti. Per fortuna servizi come Microsoft OneDrive, Google Drive, Carbonite, Dropbox e molti altri utilizzano il versioning ed è quindi consigliabile familiarizzare fin da subito con questa funzione.

Protezione gratuita dai ransomware

Bitdefender Anti-Ransomware Tool

Bitdefender Anti-Ransomware Tool

Diversi software anti-malware integrano protezioni specifiche per i ransomware, ma ci sono applicazioni dedicate esclusivamente a questa minaccia e, tra queste, alcune sono disponibili gratuitamente. Ecco quelle più interessanti.

Bitdefender Anti-Ransomware Tool prende di mira set specifici di ransomware come CTB-Locker, Locky, Petya e TeslaCrypt, ma non molte altre famiglie di ransomware. Nel caso aveste già installato sul vostro PC Bitdifender, questo tool non vi serve visto che è già integrato nell’applicazione principale.

Malwarebytes Anti-Ransomware, in versione beta da circa due anni, promette di proteggere contro tutti i ransomware noti e meno noti grazie all’analisi comportamentale di tutto il software installato sul vostro PC. Molto probabilmente questo tool sarà integrato direttamente in Malwarebytes quando uscirà dalla versione beta.

RansomFree di Cybereason è un’alternativa al tool di Malwarebytes e anche in questo caso la protezione dai ransomware si basa sull’analisi comportamentale dei programmi installati sul PC.

Aggiornate sempre

Secunia PSI

Secunia PSI

Quando sentite parlare di una nuova ondata di ransomware, non aspettate che Windows 10 si aggiorni automaticamente con le ultime patch di sicurezza, ma provvedete voi ad aggiornare sia il sistema operativo, sia Windows Defender. In entrambi i casi andare in Impostazioni, Aggiornamento e sicurezza e cliccate su Verifica disponibilità aggiornamenti e, nel caso ce ne fossero di nuovi, inizierà il processo di download e di installazione (potreste dover riavviare il PC alla fine del processo).

Assicuratevi poi di mantenere aggiornati anche tutti gli altri programmi installati sul vostro PC, incluso naturalmente l’antimalware nel caso non utilizzaste quello integrato in Windows 10. Per farlo con il minimo sforzo, potrete utilizzare Secunia PSI, strumento gratuito che analizza tutti i programmi installati sul PC e controlla se siano disponibili aggiornamenti per ognuno di essi.

Disabilitate le macro in Microsoft Office

Untitled-2

Un ransomware si può diffondere anche attraverso le macro di Office ed è quindi consigliabile disabilitarle. Per farlo, basta andare in una qualsiasi applicazione di Office, cliccare su File, Opzioni, Centro protezione, Impostazioni centro protezione, selezionare Impostazioni delle macro e spuntare la voce Disabilita tutte le macro con notifica.

IT, Windows 10 e ransomware

Ci sono molte azioni che il comparto IT di un’azienda può intraprendere per evitare il contagio di un ransomware. La più ovvia è applicare le ultime patch di sicurezza non solo a tutti i PC dell’azienda, ma anche a tutti i server e a qualsiasi prodotto hardware di livello enterprise. Questo però non basta. Molteplici attacchi ransomware infatti si sono diffusi sfruttando un protocollo di rete di Windows (notoriamente insicuro) come SMB1 e quindi è necessario disabilitarlo.

La buona notizia è che, a farlo fuori, ci ha già pensato il Fall Creators Update di Windows 10, sebbene ciò valga solo per i PC nuovi o con un’installazione pulita di questo ultimo major update di Windows 10. Tutti i PC che hanno eseguito l’aggiornamento al Fall Creators Update partendo da una versione precedente di Windows 10 devono invece disabilitare questo protocollo manualmente.

È possibile farlo in diversi modi, ma per praticità vi rimandiamo a questa pagina di supporto di Microsoft con la spiegazione passo per passo, segnalando solo che Microsoft consiglia di non disabilitare anche SMBv2 o SMBv3 se non come misura temporanea per la risoluzione dei problemi.

Gli amministratori di rete che hanno già aggiornato i PC degli utenti aziendali al Fall Creators Update possono inoltre sfruttare la funzione Accesso controllato alle cartelle di cui abbiamo appena parlato utilizzando lo strumento Group Policy Management Console (GPMC), Windows Defender Security Center o PowerShell. Per tutte le istruzioni del caso vi rimandiamo a questa pagina con i passi necessari per l’attivazione e a questa pagina per aggiungere le applicazioni fidate e le cartelle da proteggere.

anti-malwareBackupGuidaRansomwareSicurezzaWindows 10 Fall Creators Update
// Data pubblicazione: 17.01.2018
Condividi: