Le minacce per il mobile banking entrano bel “gotha” dei malware. Nel 2015 due famiglie di Trojan bancari per dispositivi mobile (Faketoken e Marcher) sono apparsi nelle top ten stilata da Kaspersky Lab: i programmi dannosi appartenenti alla famiglia Marcher rubano i dettagli di pagamento dai dispositivi Android mentre quelli della famiglia Faketoken operano insieme ai Trojan per computer.
L’utente viene spinto a installare un’applicazione sul proprio smartphone, che in realtà è un Trojan per intercettare il codice di autorizzazione one-time (mTAN). La famiglia di Trojan bancari mobile Marcher, dopo aver infettato il dispositivo, traccia invece l’attività di due sole applicazioni: l’app per il mobile banking di una banca europea e Google Play. Se l’utente avvia Google Play, Marcher mostra una falsa finestra che richiede i dettagli della carta di credito, che vanno direttamente nelle mani dei truffatori. Lo stesso metodo viene utilizzato dal Trojan se l’utente avvia l’app della banca.
“Quest’anno i cybercriminali hanno dedicato tempo e risorse allo sviluppo di programmi finanziari nocivi per dispositivi mobile – commenta Morten Lehn, Managing Director di Kaspersky Lab Italia – Questo non sorprende, in quanto milioni di persone in tutto il mondo usano ormai i loro smartphone per pagare beni e servizi. Basandoci sulle attuali tendenze, possiamo immaginare che l’anno prossimo i malware per il mobile banking avranno un peso ancora maggiore”.
Il cybercrime finanziario “tradizionale” non è tuttavia diminuito: nel 2015, le soluzioni di Kaspersky Lab hanno bloccato, in totale, quasi due milioni (1,966,324) di tentativi di installazione di malware in grado di rubare denaro dai computer tramite online banking, con una crescita del 2,8% rispetto al 2014 (1,910,520).
Kaspersky Lab ha poi rilevato che le numerose modifiche della più diffusa famiglia malware, ZeuS, sono state detronizzate da Dyre/Dyzap/Dyreza. Più del 40% degli utenti attaccati da Trojan bancari nel 2015 sono stati infatti colpiti da Dyreza usando un efficace metodo di infezione via web che aveva lo scopo di rubare informazioni e accedere ai sistemi di online banking.
Il report ha poi rilevato i principali trend dell’attività cybercriminale nel 2015. I criminali informatici nell’ottica di ridurre il rischio di condanna sono passati dagli attacchi malware alla diffusione aggressiva di adware. Nel 2015, 12 delle 20 minacce basate sul web sono state infatti adware. I programmi pubblicitari sono stati registrati nel 26,1% dei computer degli utenti.
Kaspersky Lab ha anche osservato nuove tecniche per mascherare exploit, shellcodes e payloads per rendere più difficile il rilevamento dell’infezione e l’analisi del codice dannoso. Nella fattispecie, i cybercriminali hanno usato il protocollo di criptaggio Diffie-Hellman e hanno celato pacchetti exploit in oggetti Flash.
I cybercriminali hanno fatto uso attivo della tecnologia di anonimizzazione Tor per nascondere i server di comando e hanno usato i Bitcoin per le transazioni.
Nel 2015, il ransomware ha rapidamente espanso la propria presenza su nuove piattaforme. Un attacco ransomware su 6 (17%) ora coinvolge un dispositivo Android, a solo un anno dalla prima volta che la piattaforma è stata presa di mira. Nel 2015, gli esperti di Kaspersky Lab hanno identificato due principali trend dei ransomware. Il primo è l’aumento del numero totale degli utenti attaccati da ransomware criptatori: fino a 180mila, il 48,3% in più rispetto al 2014. Il secondo è il fatto che in molti casi i criptatori stanno diventando a modulo multiplo e, oltre alla criptazione, comprendono una funzionalità progettata per rubare i dati dai computer delle vittime.
L’80% degli attacchi bloccati dalle componenti antivirus provenivano da risorse online situate in 10 Paesi. I tre Paesi principali in cui si trovavano le risorse online infette sono rimasti invariati rispetto all’anno precedente: Stati Uniti (24,2%), Germania (13%) e Paesi Bassi (10,7%). Questa graduatoria dimostra che i cybercriminali preferiscono operare e usare servizi di hosting in quei Paesi dove il mercato dell’hosting è ben sviluppato.