Il post seguente è stato tradotto per gentile concessione di Trusteer

Cattive notizie: i truffatori hanno tutti gli strumenti necessari per trasformare efficacemente il malware mobile nel più grande problema di sicurezza mai riscontrato. Manca solo una cosa: la scelta del cliente. Il numero degli utenti che usano il banking online dai propri dispositivi mobili, è ancora relativamente basso. Inoltre le transazioni sui siti web di molte banche non sono ancora abilitate ai dispositivi mobili. Dal momento che le frodi online sono principalmente basate sui grandi numeri, attaccare gli utenti del banking mobile non è ancora una frode efficace. Ma aspettatevi un cambiamento. Ad un anno da ora, tutto sarà completamente diverso, quando molti più utenti inizieranno a utilizzare il banking dal proprio telefono cellulare e i truffatori passeranno alle maniere forti.

Trusteer ha calcolato che entro 12/24 mesi, 1 telefono Android ( ma anche iPad/iPhone) su 20 (5,6% ) potrebbe essere infettato con il malware mobile, se i truffatori cominceranno ad integrare le vulnerabilità mobili zero-day in exploit kit importanti.

Il paradiso dei truffatori: Google Android

L’architettura di sicurezza di Android non è all’altezza della sfida. Soprattutto per quanto riguarda la facilità di creare potenti applicazioni fraudolente e la facilità nel distribuirle. I truffatori possono facilmente creare applicazioni che hanno accesso a risorse sensibili del sistema operativo, come i messaggi di testo e voce, la posizione geografica e molto altro ancora. Agli utenti che installano una di queste applicazioni, comparirà un messaggio con un elenco delle risorse alle quali l’applicazione richiederà l’accesso; ma, generalmente, verrà ignorato, visto che molte applicazioni richiedono l’accesso a un ampio elenco di risorse. Creare una potente applicazione fraudolenta per Android che rubi ed abusi della vostra identità e del vostro conto in banca, è quasi banale. Distribuire queste applicazioni sull’Android Market è ancora più banale.

Non vi sono controlli reali dell’intero processo di upload, che potrebbero identificare e impedire la pubblicazione di applicazioni dannose in questi store. Rispetto all’App Store di Apple, l’Android Market è il selvaggio West. Non ci si può sempre fidare delle applicazioni che si scaricano.

I truffatori ​​hanno già iniziato ad abusare di questa grande falla nella sicurezza. Dozzine di applicazioni dannose sono già state individuate nell’Android Market. Google ne ha rimosso la maggior parte ma altre continuano ad arrivare. Trusteer ha identificato applicazioni pericolose sull’Android Market che sono rimaste per settimane prima di essere rimosse da Google.

L’utente medio fatica a individuare questa pagina , che permette di richiedere a Google di analizzare e rimuovere le applicazioni inappropriate dall’Android Market.
Ma non aspettatevi che Google reagisca velocemente a ciò che avete inviato tramite questo modulo. Lo abbiamo usato alcune volte senza risultati.
Per rimuovere un’applicazione dal Google Market, in realtà, abbiamo dovuto utilizzare contatti interni a Google, che non sono disponibili all’utente medio. Il processo di identificazione e rimozione delle applicazioni dannose dall’Android Market, richiede importanti miglioramenti.

La maggior parte delle applicazioni dannose che hanno colpito Android non sono finanziarie. Tuttavia, nel maggio di quest’anno, abbiamo visto il (già noto) malware Man in the Mobile (MitMo) che aveva già attaccato i telefoni Symbian, Blackberry e Windows in fase di porting per Android. Questo attacco è stato progettato per bypassare l’SMS Out of Band (OOB) dei processi di autenticazione e di verifica delle transazioni delle banche. La prossimità di questo attacco con la recente guida FFIEC che consiglia alle banche di prendere in considerazione, tra gli altri, l’Out of Band per combattere gli attacchi di malware, risulta ironico. Dimostra esattamente perché i truffatori sono due passi avanti.

Per chi non sapesse come funzioni OOB, ecco una breve descrizione: l’idea generale è quella di combattere il malware che infetta la macchina dell’utente. Quando l’utente accede al sito di una banca da un PC infetto da malware finanziario come Zeus o SpyEye, il malware s’impossessa della sessione web e inietta transazioni fraudolente per conto dell’utente. Con OOB attivato, la banca invia un messaggio di testo al numero di telefono pre-registrato dell’utente. Il messaggio include i dettagli della transazione e un codice di verifica. L’utente dovrà copiare il codice di verifica dal dispositivo mobile al browser del PC. Il presupposto è che se la transazione è stata generata dal malware, l’utente non completerà il processo e non copierà il codice di conferma nel browser; di conseguenza la banca non approverà la transazione.

L’attacco MitMo fa cadere questo presupposto: quando l’utente viene infettato e cerca di accedere al sito web della banca, il malware entra in gioco e chiede all’utente di scaricare un’autenticazione, o un componente di sicurezza sul dispositivo mobile per completare il processo di login. L’utente crede, erroneamente, che questo messaggio provenga dalla banca, mentre in realtà proviene dal malware.Quando l’utente installa il malware sul dispositivo mobile, i truffatori controllano sia il PC dell’utente che il telefono. Successivamente il ​​malware genera una transazione fasulla per conto dell’utente. La banca invia un messaggio di conferma al dispositivo mobile dell’utente. Il malware legge il messaggio di conferma e lo invia al malware sul PC. Quindi, elimina il messaggio di conferma dal dispositivo mobile in modo che l’utente non lo veda. Il malware sul PC inserisce il codice di conferma e approva la transazione.

Il malware per Android diffuso a maggio di quest’anno, è di diversi tipi. In uno si utilizzava anche il marchio Trusteer per guadagnare la fiducia degli utenti e convincerli a scaricare l’applicazione. Lo stesso malware è stato usato insieme a Zeus 2.1.0.10. Il pc dell’utente è stato prima infettato da Zeus, che successivamente mostrava il messaggio per scaricare il componente malware di Android.

Chi ha già scaricato Trusteer Rapport è protetto da questo tipo di attacco.

Apple iOS non è così sicuro come si possa pensare

IOS è il sistema operativo dell’iPad iPhone e iPod. Con il malware per iOS, è una storia leggermente diversa. Non è facile creare applicazioni dannose che abbiano accesso alle risorse del dispositivo, visto che iOS effettua rigorosi controlli sull’accesso alle applicazioni. Non è nemmeno facile immettere applicazioni pericolose sull’App Store, visto che Apple effettua una revisione manuale di ogni applicazione presentata, che permette di rilevare applicazioni illegali.

Tuttavia, c’è una falla in questa architettura di sicurezza e si chiama jailbreaking. Un dispositivo IOS con il jailbreaking non impone il controllo degli accessi e permette, in pratica, a qualsiasi app di fare ciò che vuole sul dispositivo. Purtroppo molti utenti effettuano il jailbreak dei propri dispositivi, visto che vogliono eseguire tipi di applicazioni che non sono su App Store. Ma cosa ancor più grave è che le vulnerabilità di IOS potrebbero consentire a siti Web dannosi di effettuare il jailbreak del dispositivo e infettarlo con malware senza il consenso, o la consapevolezza dell’utente. La scorsa settimana abbiamo visto un buon esempio proprio di questo.

JailbreakMe.com ha pubblicato un exploit che permette il jailbreaking automatico dei dispositivi IOS da un sito Web appositamente creato. I file PDF che sfruttano questa vulnerabilità, sono liberamente disponibili. Anche fare clic su un documento in formato PDF, o navigare su un sito web che contenga documenti PDF, è sufficiente per infettare il dispositivo mobile con il malware. Ora, il concetto di siti web dannosi che sfruttino gli exploit per infettare dispositivi endpoint, è ben noto ai truffatori. Il famigerato BlackHole exploit kit e altri, quali Fragus e Neosploit, automatizzano questi processi. BlackHole è estremamente pericoloso e ampiamente utilizzato in quanto distribuito gratuitamente. Milioni di siti sono stati compromessi per eseguire questi exploit kit.

Quando gli utenti accederanno ad uno di questi siti web compromessi, verranno infettati dal malware. I truffatori possono utilizzare lo stesso exploit kit per qualsiasi parte del malware. Quando gli autori di BlackHole aggiungeranno le vulnerabilità IOS al loro kit, assisteremo a un rapido aumento della distribuzione di malware sui dispositivi IOS. Questa recente vulnerabilità non è la prima che abbia permesso ai truffatori di compromettere dispositivi IOS e non sarà l’ultima. Stiamo osservando solamente l’inizio del problema.
I truffatori continueranno ad analizzare IOS e ne scopriranno vulnerabilità, che permetteranno loro di compromettere i dispositivi e commettere frodi. Spero di sbagliarmi, ma ad un anno da ora, tutto questo potrebbe diventare così comune da non fare nemmeno notizia.

Conclusione

Solo negli Stati Uniti, il 50% dei telefoni cellulari sono smartphone, con Android e iPhone veri leader del mercato. In aprile di quest’anno, un sondaggio tra gli utenti di smartphone del Solutions Research Group con sede a Toronto, l’ha dimostrato e ha mostrato che il 38% usa un’applicazione bancaria.

Questi due numeri sono in costante aumento e stanno per diventare abbastanza grandi affinché i truffatori inizino ad usare le maniere forti.

Tutti gli elementi essenziali sono presenti: i truffatori vanno alla ricerca di vulnerabilità per IOS e Android, possiedono exploit kit efficaci per automatizzare il processo, compiono operazioni su larga scala che compromettono siti web e li costringono a distribuire malware e hanno malware per cellulari che può commettere frodi. A mio parere, tutto questo porta ad una conclusione: stiamo per affrontare uno tra i peggiori problemi di sicurezza che sia mai esistito e non passerà molto tempo prima che avvenga.

Le soluzioni anti-malware per la telefonia mobile rappresentano difficilmente la risposta a questo problema. Queste soluzioni non sono molto diverse rispetto alle loro controparti per PC. Sono basate sull’analisi delle applicazioni installate sul dispositivo e un elenco di note applicazioni dannose. Questo tipo di soluzione non è scalabile quando il numero di applicazioni dannose aumenta vertiginosamente. Visto l’aumento del malware mobile, stiamo per affrontare lo stesso problema delle soluzioni per gli antivirus desktop: bassa efficacia.

Si rende necessaria una soluzione diversa, con un approccio diverso alla sicurezza mobile: che impedisca a questi dispositivi d’infettarsi e possa proteggere la comunicazione mobile con le banche dal malware che, eventualmente, dovesse finire sul dispositivo. Questo principio è stato usato con successo da Trusteer Rapport per proteggere 150 banche in tutto il mondo e ora è disponibile per IOS e Android. Trusteer Mobile sarà lanciato entro la fine dell’anno, in collaborazione con alcune importanti banche e sta per cambiare il modo in cui le banche e i loro clienti pensano la sicurezza mobile.

Raccomandazioni per rendere sicuro il mobile banking:

1. Controllate la reputazione, le recensioni degli utenti ed i commenti di ogni applicazione mobile che scaricate. Evitate le applicazioni con un basso punteggio, quelle nuove, o con recensioni negative.
2. Prestate attenzione ai permessi richiesti dalle applicazioni Android quando le installate. Le applicazioni che chiedano l’accesso ai messaggi di testo e ad altre informazioni sensibili, dovrebbero mettervi in allarme e farvi compiere ulteriori ricerche prima di scaricarle
3. Proteggete il vostro PC con un software di sicurezza per l’online banking come Trusteer Rapport, che potrete scaricare dal sito della vostra banca. Questo software può bloccare gli attacchi MitMo, impedendo ai truffatori di controllare il canale web.
4. Installate regolarmente gli aggiornamenti per il vostro dispositivo mobile

Calcolo dei tassi di infezione degli smartphone per gli exploit zero day

Le statistiche Trusteer di giugno 2011 mostrano che ogni giorno un utente su 1500 accede a un sito web infettato con l’exploit kit BlackHole. Ogni giorno, 667 utenti su un milione accederanno all’exploit kit BlackHole . Ipotizzando che l’exploit kit BlackHole integri una vulnerabilità zero day, come la recente JailbreakMe, ciò indica 667 utenti infetti al giorno su 1 milione. Ipotizzando che ad Apple o Google serva una settimana per risolvere la vulnerabilità e in media 2 settimane agli utenti per aggiornare il proprio cellulare con una nuova release, ciò indica una media di 21 giorni di esposizione, in cui 14.000 utenti su un milione vengono infettati con l’attacco zero day. Ipotizzando 4 exploit zero day in un anno, arriviamo a 56.000 infezioni all’anno per milione di utenti, pari al 5,6%: un numero estremamente elevato.

Fonte: Mobile Malware: Why Fraudsters Are Two Steps Ahead Bad news: Fraudsters have all the tools they need to effectively turn mobile malware into the biggest customer security problem we’ve ever seen. They are lacking just one thing – customer adoption. The number of users who bank online from their mobile devices is still relatively low. Additionally, transactions are not yet enabled for mobile devices on many banks’ websites. Since online fraud is mostly a big numbers game, attacking mobile bankers is not yet an effective fraud operation. But expect a change. In a year from now this is all going to look completely different as more users start banking from their mobile phone and fraudsters release their heavy guns.  Trusteer has just released figures predicting that within 12 to 24 months over 1 in 20 (5.6%) of all Android phones and iPads/iPhones could become infected by Mobile malware if fraudsters start integrating zero-day mobile vulnerabilities into leading exploit kits.

Fraudster’s Heaven: Google Android

Android’s security architecture is not currently up to the challenge. This is reflected mainly in the ease of generating powerful fraudulent applications and the ease of distributing these applications. Fraudsters can easily build applications that have access to sensitive operating system resources such as text messages, voice, location, and more. Users installing these applications do get a message with a list of resources the app is requesting access to but would usually ignore it as many applications request access to an extensive list of resources. Building a powerful fraudulent Android application that steals and abuses your identity and your bank account is almost trivial. Distributing these applications on the Android Market is even more trivial. There are no real controls around the submission process that could identify and prevent publishing malicious applications on these stores. Compared to Apple’s App Store, Android Market is the Wild West. You can’t always trust applications you download from it.

Fraudsters have already started to abuse this big security hole. Dozens of malicious applications have already been identified on the Android Market. Google has removed most of them but more keep coming. Trusteer has identified malicious applications on the Android Market which have stayed there for weeks before being taken off by Google. The average user will find it hard to locate this page which allows you to request Google to review and take down inappropriate applications from the Android Market. But don’t expect Google to react fast to anything you submit through this form. We used it a few times with no results. In order to take down an applications in Google Market we actually had to use contacts within Google which are not available to the average user. The process of identifying and removing malicious applications from the Android Market requires major improvements.

Most of the malicious applications which hit Android are not financial. However, in May this year we’ve seen the (already known) Man in the Mobile (MitMo) malware which has previously attacked Symbian, Blackberry, and Windows phones being ported to Android as well. This attack is designed to bypass banks’ SMS Out of Band (OOB) authentication and transaction verification processes. The proximity of this attack to the recent FFIEC guidance which advises banks to consider, among other, Out of Band to fight malware attacks is ironic. It demonstrates exactly why the fraudsters are two steps ahead.

For those of you who don’t know how OOB works here is a short description: The general idea is to fight malware that infects the user’s machine. Once the user browses to a bank’s website from a PC infected with financial malware such as Zeus or SpyEye, the malware takes over the web session and injects fraudulent transactions on behalf of the user. With OOB in place the bank sends a text message to the user’s pre-registered phone number. The message includes the transaction details and a verification code. The user needs to copy the verification code from the mobile device back to the browser on the PC. The assumption is that if the transaction was generated by malware the user will not complete the process and will not copy the confirmation code back to the browser and as a result the bank will not approve the transaction. The MitMo attack breaks this assumption by doing the following: Once the user gets infected and tries to access the bank’s website the malware kicks in and asks the user to download an authentication or security component onto their mobile device in order to complete the login process. The user wrongly assumes this message comes from the bank while in reality it comes from the malware. Once the user installs the malware on the mobile device the fraudsters control both the user’s PC and the user’s phone. Next the malware generates a fraudulent transaction on behalf of the user. The bank then sends a confirmation message to the user’s mobile device. The malware on the user’s device reads the confirmation message and sends it to the malware on the PC. It then deletes the confirmation message from the user’s mobile device so the user will not see it. The malware on the user’s PC enters the confirmation code and approves the transaction.

MitMo Attack Cycle

The Android malware that spread On May this year came in different flavors. One of the flavors was even using the Trusteer brand to gain users trust and convince them to download the application. The malware itself was used in conjunction with Zeus 2.1.0.10. The user was first infected with Zeus on their PC and then Zeus showed the message requesting the user to download the Android malware component.

MitMo fraudulent Android Application Abusing the Trusteer brand

People who had already downloaded Trusteer Rapport are protected from this type of attack.

Apple iOS is not as Secure as One May Think

iOS is the operating system of the iPhone, iPad, and iPod. With iOS malware, it’s a slightly different story. It’s not easy to create malicious applications that have access to device resources since iOS applies strict access control on applications. It’s also not easy to introduce malicious applications on the App Store as Apple conducts a manual review of each submitted application which allows them to detect abusing applications. However, there is a hole in this security architecture and it’s called jailbreaking. A jailbroken iOS device doesn’t enforce access control and basically allows any app to do whatever it wants on the device. Unfortunately many users jailbreak their devices as they want to run all sorts of applications that are not on the App Store. But what’s more unfortunate is that vulnerabilities in iOS could allow malicious websites to jailbreak a device and infect it with malware without the user’s consent or knowledge. Last week we saw a good example for that.

JailbreakMe.com published an exploit which allows the automated jailbreaking of iOS devices from a specially created Web site. PDF files that exploit this vulnerability are reportedly publicly available. Even clicking a crafted PDF document or surfing to a website with the PDF documents are sufficient to infect the mobile device with malware. Now the concept of malicious websites serving exploits to infect endpoint devices is well mastered by fraudsters. The notorious BlackHole exploit kit and other exploit kits such as Fragus and Neosploit provide automation of these processes. BlackHole is extremely dangerous and widely used as it is distributed for free. Millions of websites are being compromised to run these exploit kits.

When users browse to one of these compromised websites they get infected with malware. Note that fraudsters can use the same exploit kit to serve any piece of malware they choose. Once the authors of BlackHole add iOS vulnerabilities to their kit we’ll start seeing a quick increase in malware distribution on iOS devices. This recent vulnerability is not the first which allows fraudsters to compromise iOS devices and it won’t be the last. We’re looking at just the beginning of this problem. Fraudsters will continue to research iOS and discover more vulnerabilities which will allow them to compromise devices and commit fraud. I hope I’m wrong, but a year from now this can become so common that it will not even hit the news.

Conclusion

In the US alone 50% of mobile phones are smart phones with Android and iPhone being the clear market leaders. In April of this year Toronto-based Solutions Research Group survey among smartphone users showed that and 38% of them use a banking application. These two numbers are on constant increase and are just about to become big enough for fraudsters to start using their heavy guns. All the building blocks are in place: Fraudsters are researching iOS and Android for vulnerabilities, they have effective exploit kits which can automate this process, they have large scale operations which compromise websites and force them to distribute malware, and they have effective malware for mobile which can commit fraud. In my opinion, this all leads to one conclusion – we are about to face one of the worse security problems ever and it won’t be long before we do.

Anti-malware solutions for mobile phones are hardly the answer to this problem. These solutions are not much different than their PC counterparts. They’re based on scanning applications installed on the device against a list of known malicious applications. This type of solution cannot scale when the number of malicious applications explodes. As mobile malware numbers increase we’re about to face the very same problem we’re currently facing with desktop anti-virus solutions- low effectiveness.

A different solution that takes a different approach for mobile security is required – one that can protect these devices from getting infected to begin with and can protect mobile communication with banks from malware that may end up on the device. This concept which has been successfully used by Trusteer Rapport to protect 150 banks across the world is now available for the iOS and Android. Trusteer Mobile will be launched later this year together with a handful leading banks and is going to change the way banks and their customers think of mobile security.

Recommendations to secure mobile banking:

1. Check rating, user reviews, and comments for each mobile application you download. Avoid low rated, new applications, and bad reviews.
2. Carefully review the permission requested by Android applications when you install them. Applications that ask for access to text messages and other sensitive information should raise a red flag and further researched before you download it
3. Have your PC protected with an online banking security software such as Trusteer Rapport, which you can download from your bank’s website. This software can break MitMo attacks by not allowing fraudsters control the web channel.
4. Regularly install updates for your mobile device

Calculation of smart phone infection rates for zero day exploits

Trusteer statistics for June 2011 show that each day one out of 1500 users accesses a website which was infected with the BlackHole exploit kit.  Out of a million users 667 users will access the BlackHole exploit kit every day.  Assuming the BlackHole exploit kit incorporates a Zero Day vulnerability like the recent JailBreakMe vulnerability indicates 667 infected users a day per 1 million users.  Assuming it takes Apple or Google one week to fix the vulnerability and then it takes in average 2 weeks for users to update their mobile phone with a new release, indicates 21 days of exposure on average in which 14,000 user per million users will get infected with the Zero day attack.  Assuming 4 of these zero day exploits a year we’re looking at 56,000 infection a year per million users which is 5.6% – an extremely high number.

Source: Mobile Malware: Why Fraudsters Are Two Steps Ahead