Fortinet ha annunciato le 5 principali famiglie di malware per Android individuate dai FortiGuard Labs, che hanno inoltre testato una nuova vulnerabilità che colpisce i telefoni Android a livello root.
Il 15 novembre scorso, la società di analisi Gartner ha pubblicato un report dal quale risulta che il sistema operativo mobile Android di Google ha raggiunto una quota pari al 52,5% del mercato smartphone globale, seguìto al terzo posto da iOS (subito dopo Symbian) con una quota di mercato del 18%. I FortiGuard Labs hanno trovato interessante la disparità tra la quantità di malware individuata nel sistema operativo Android rispetto a quella rilevata su iOS, relativamente alla rispettiva quota di mercato.
“I FortiGuard Labs hanno individuato una quantità di famiglie dannose circa 5 volte maggiore nel SO Android rispetto a iOS”, ha commentato Axelle Apvrille, Senior Mobile Anti-virus Researcher di Fortinet. “Crediamo che questa disparità sia attribuibile al modo in cui Apple gestisce lo sviluppo e la distribuzione di applicazioni iOS. A differenza di Android, che rende piuttosto facile pubblicare applicazioni scaricabili dagli utenti, iOS richiede agli sviluppatori di sottoporsi a una selezione piuttosto scrupolosa da parte di Apple prima che l’applicazione possa arrivare all'Apple Store. Questo non significa che Apple sia completamente immune all'infiltrazione di malware, e il banking worm Eeki ne è una prova, ma è una testimonianza della scarsa attività del malware sulla piattaforma iOS”.
“Riteniamo che, purtroppo, la quota di mercato più elevata e l'ambiente di sviluppo aperto di Android abbiano un prezzo, ossia un aumento del malware che attacca il sistema operativo sei volte maggiore”, ha affermato Apvrille. “Ad oggi i nostri Labs hanno rilevato un aumento del 90% delle famiglie di malware per Android nel 2011 rispetto al 2010, mentre le famiglie di malware per iOS sono aumentate solo del 25%. Naturalmente queste statistiche non tengono conto dei tassi di infezione o della pericolosità”.
Di seguito le 5 famiglie di malware più importanti che i FortiGuard Labs hanno maggiormente riscontrato nel 2011:
• Geinimi: il primo botnet per Android che invia la posizione geografica della vittima e ne controlla il telefono da remoto. Ad esempio, Geinimi è in grado di obbligare il telefono infetto a chiamare un dato numero di telefono.
• Hongtoutou: un Trojan horse sotto forma di sfondo live che sottrae informazioni personali, ad esempio il numero di abbonamento (IMSI) della vittima e visita automaticamente i siti Web imposti dal malware.
• DroidKungFu: un altro botnet con molteplici capacità, ad esempio l'installazione remota di altro malware, l'avvio in remoto di applicazioni specifiche e l'aggiunta di segnalibri.
• JiFake: un'applicazione di messaggistica istantanea contraffatta che invia SMS a numeri di telefono a pagamento.
• BaseBridge: un Trojan horse che invia SMS a numeri a pagamento.
I malware vengono rilevati dal motore antivirus di Fortinet. È inoltre opportuno notare che il malware come BaseBridge era disponibile su Android Market, ma è stato successivamente rimosso. Molte volte il software dannoso tenta di mascherarsi da applicazione legittima, ma ne è stata rilevata la presenza anche all'interno di applicazioni valide che avevano infettato.
“DroidKungFu è un esempio di malware che è stato trovato ripacchettizzato all'interno di una regolare utilità VPN, mentre Geinimi è stato individuato nell'applicazione legittima "Sex Positions", ha dichiarato Karine de Ponteves, Malware Analyst di Fortinet.
Il mese scorso, Jon Larimer e Jon Oberheide hanno pubblicato le vulnerabilità per la piattaforma Android 2.3.6 che si è rivelata un modo semplice per hacker e sviluppatori di software dannoso di ottenere e sfruttare l'accesso alla root di un dispositivo Android.
“Quello della sicurezza mobile è un trend familiare: man mano che i sistemi operativi si evolvono e diventano popolari, i cybercriminali vi individuano interessi e motivazioni per creare malware e vulnerabilità”, ha osservato Derek Manky, Senior Security Strategist di Fortinet. “Con l'accesso a livello di root gli hacker possono ottenere l'accesso ai file di sistema e modificarne le impostazioni che in genere sono di sola lettura. Ad esempio, un creatore di malware con accesso root a un dispositivo vulnerabile può scaricare e installare in modo invisibile ulteriore software dannoso, come ransomware, spambot e keylogger”.