Secondo l’ultimo rapporto di Avira sulla sicurezza informatica, lo scorso anno i criminali informatici hanno utilizzato sempre più spesso il COVID-19 come elemento chiave delle loro campagne di phishing. Gli autori di software dannosi hanno escogitato qualsiasi tipo di tattica per sfruttare le paure e la sete di informazioni degli utenti legate al coronavirus. È così che hanno indotto quelli disinformati a scaricare software malevoli sui propri dispositivi, consentendo agli autori di attacchi informatici, ad esempio, di violare i dati delle carte di credito.
Un’altra minaccia è rappresentata dallo stalkerware, ovvero programmi che spiano le loro vittime.
“Da molto tempo ormai i criminali informatici usano trucchi psicologici per attirare gli utenti più inconsapevoli“, spiega Alexander Vukcevic, responsabile di Avira Protection Labs. “Attualmente ci troviamo in una situazione in cui molte persone sono alla ricerca di risposte e sono preoccupate a causa del COVID-19. Un contesto di grande incertezza sfruttabile in modo mirato.” ha continuato Vukcevic.
Dall’inizio della pandemia sono emerse delle varianti speciali di famiglie di software dannosi già note, che hanno l’obiettivo di adescare gli utenti ignari tramite le parole chiave “Corona” o “COVID-19“.
Il trojan bancario di Android, Cerberus, attira gli utenti tramite la parola “Corona”
Avira ha rilevato una variante del trojan bancario Cerberus, che si trova spesso sotto il nome “Corona-Apps.apk” e che si diffonde soprattutto attraverso campagne di phishing veicolate tramite email. La parola chiave “Corona” ha lo scopo di indurre gli utenti a installare il trojan sul loro smartphone Android.
Aumento massiccio dei trojan bancari per Android
Nel complesso, si è registrato un massiccio aumento del numero di trojan che hanno rubato le credenziali bancarie provenienti da dispositivi Android (+35 punti percentuali su base annua, come mostrato nel grafico sottostante).
“I trojan bancari hanno sempre avuto un ruolo importante nella scena dei malware per Android e quest’ultimo anno non è stato diverso. Oltre a sfruttare come “gancio” il COVID-19, usano il loro approccio classico, ovvero si travestono da applicazioni attendibili e chiedono permessi insoliti con lo scopo di ottenere le credenziali delle carte di credito“, ha affermato Vukcevic.
Un esempio per questo tipo di tattica è una variante della famiglia di trojan bancari per Android “Wroba“, che si traveste da Google Chrome per ottenere le credenziali delle carte di credito dalle applicazioni di online banking tramite un’interfaccia utente falsificata che in quasi tutti i casi è un clone della schermata di login dell’applicazione bancaria.
Il COVID-19 come esca per gli attacchi informatici
Nel complesso, Avira Protection Labs ha registrato un aumento degli attacchi malware di circa il 15% rispetto all’anno precedente, con un maggiore impatto soprattutto nei primi mesi del 2020.
Il numero di tutti gli attacchi informatici bloccati da Avira è aumentato quest’anno con lo stesso ritmo della pandemia. Gli attacchi malware hanno raggiunto il primo picco ad aprile in concomitanza con la prima ondata della pandemia. In estate, con il miglioramento della situazione generale, il numero di attacchi è diminuito. In occasione invece della seconda ondata di ottobre il numero di attacchi malware è tornato a crescere di nuovo rapidamente (come mostrato nel grafico seguente).
Una minaccia sempre crescente nel 2021: lo stalkerware
Un altro software dannoso che si mimetizza attivamente e che, secondo Avira, diventerà sempre più importante nel corso dell’anno è lo stalkerware che si manifesta sotto forma di programmi dannosi, come spyware sviluppati appositamente per scopi di spionaggio, ma anche di applicazioni innocue che vengono utilizzate in modo improprio con la volontà di nuocere. Un esempio classico sono quelle utilizzate dai genitori per il monitoraggio e che spesso vengono impiegate in modo improprio per violare la privacy degli adulti. Tali applicazioni possono comunque essere scaricate legalmente dal Google Play Store.
Tra le altre cose, queste applicazioni sono in grado di registrare le chiamate, tracciare la posizione del dispositivo, scattare foto o video a distanza, monitorare i dati e condividerli con terzi tramite accesso remoto. Per mascherare queste attività e non destare sospetti nella vittima, le applicazioni stalkerware hanno una modalità Stealth che mimetizza l’app in modo che sembri un processo o un’utilità di sistema, blocca il software antivirus e ne impedisce così la disinstallazione.
A causa dell’aumento dell’attività degli stalkerware in ambiente Android, Avira ha stilato un elenco di 20 criteri utili per il riconoscimento e si è unita alla Coalizione contro lo stalkerware.
Evoluzione del panorama delle minacce: le previsioni di Avira per il 2021
Un argomento degno di attenzione per il 2021 è il passaggio dal tradizionale malware PE all’utilizzo di file non PE e attacchi fileless, ovvero tecniche utilizzate per infettare un dispositivo solo con l’esecuzione in memoria del malware: non viene scaricato nessun file “fisico”, il che rende più difficile il rilevamento per i tradizionali motori antivirus.
Un altro aspetto da monitorare sono gli exploit. Ogni anno supera il precedente in quanto a lacune di sicurezza rilevate nelle applicazioni comuni. I software che utilizziamo diventano sempre più complessi e il mondo non è mai stato così connesso come oggi: ciò apre la strada agli avidi cacciatori di exploit in cerca di nuove vulnerabilità. Naturalmente, non tutti sono autori di malware ma è possibile che nel 2021 le vulnerabilità sfruttate saranno più numerose che mai.
Si nota anche un cambiamento di tipo organizzativo, che vede sempre più hacker utilizzare strumenti e malware non scritti da loro stessi, ma resi disponibili o acquistati da altri criminali informatici. Questo divide ulteriormente le due categorie “hacker” e “autori di malware” in gruppi di persone separati all’interno dello stesso business, ma è necessario che determinati gruppi e agenzie governative tengano per sé le proprie creazioni e le utilizzino solo per attacchi molto mirati contro oggetti ad alta priorità, ad esempio scrivendo e utilizzando le proprie APT (Advanced Persistent Threats).