Abbiamo fatto questa e altre domande all’esperto dei SophosLabs Rowland Yu, specializzato in ricerca e analisi dei rischi malware che minacciano i dispositivi mobili.
Ecco le sue risposte…
Rowland, che tipo di formazione ha seguito e come è arrivato ad occuparsi di ricerca in mobile security?
12 anni fa ho completato gli studi all’Università di Wollongong, in Australia, con una laurea in sicurezza informatica che mi ha permesso di entrare in Sophos come spam analyst – primo passo di un percorso professionale sempre più orientato alla ricerca nel campo della cybersecurity.
Dall’analisi dello spam sono passato al reverse engineering, cercando di scomporre e studiare i programmi malware per migliorare la nostra capacità di rilevarli ed eliminarli.
Già nel 2012 avevamo individuato una tale quantità di malware diretto contro Android da renderci conto che la minaccia non sarebbe scomparsa dall’oggi al domani, così ho iniziato a focalizzarmi sui rischi per la sicurezza dei dispositivi mobili, perché vedevo Android come “il nuovo Windows” nel mirino dei creatori di malware.
Oggi, in veste di Senior Threat Researcher, sono alla guida del team Android dei SophosLabs dedicato all’analisi di malware e minacce emergenti.
Visto che considera il malware diretto contro i dispositivi mobili un fenomeno di lunga durata, viene da chiedersi se ha rinunciato a servirsi di un cellulare…
Certo che no. Ho un cellulare aziendale con sistema operativo Android e uno personale con iOS.
Quali precauzioni adotta per tenerli al sicuro?
Ho installato il software Sophos Mobile Security su entrambi!
Faccio anche attenzione alle varie app – su Android le scarico solo da Google Play, anche se non è infallibile nel tenere a bada il malware. Cerco di leggere le opinioni pubblicate su altri siti perché è difficile capire quali recensioni su Google Play sono affidabili e quali invece sono postate dai produttori delle app.
Limito anche i diritti di accesso delle app in base a mie precise scelte, evitando di concedere tutti i privilegi richiesti.
In cosa differiscono le minacce dirette contro iOS da quelle mirate ad Android?
Apple induce gli utenti di iPhone e iPad a rimanere fedeli all’App Store, riducendo notevolmente l’esposizione al rischio malware.
Nel 2017, ad esempio, il totale delle minacce dirette contro iOS che abbiano analizzato non superava il 10%. Tanto per fare un confronto, abbiamo passato al vaglio oltre 4 milioni di campioni nocivi per Android, molti dei quali rilevati al di fuori di Google Play Store, nel “selvaggio Web”.
Ma anche su Google Play sono state segnalate 35 tipologie di minacce nel 2017 e la stessa Google ha eliminato 700.000 pacchetti applicativi per violazione delle policy di Google Play.
Questa tendenza continua tuttora: 37 tipologie di minacce sono state individuate su Google Play dall’inizio di quest’anno, 6 delle quali scoperte da noi di SophosLabs.
Esistono differenze tra le minacce “mobile” che incombono sulle aziende e quelle che pesano sui consumatori?
La principale differenza in termini di rischi è data dal fatto che gli utenti domestici di dispositivi Android tendono maggiormente ad attivare l’opzione “Consenti l’installazione di app da fonti sconosciute”: così facendo sono liberi di avventurarsi al di fuori di Google Play e provare app scaricate da altri store, ma diventano anche più vulnerabili.
Molte aziende esigono che i loro utenti restino su Google Play – come ho già detto, non è perfetto, ma è molto più sicuro di tanti store all’insegna del “tutto è permesso” che popolano il suddetto selvaggio Web.
La stragrande maggioranza di quei 4 milioni di campioni malware diretti contro Android che abbiamo classificato l’anno scorso provenivano da siti esterni a quello spazio chiuso ma protetto che è il “walled garden” di Google.
Si fa un gran parlare di ransomware e cryptomining: si tratta di minacce serie anche per i cellulari?
Sì! Di fatto il ransomware dilagava sui dispositivi mobili ancor prima di diventare il flagello di desktop e laptop, anche se agli inizi non codificava “tenendoli in ostaggio” i file degli utenti, ma cercava solo di bloccare l’accesso al telefono.
Questo ransomware che visualizzava la schermata di blocco apriva una “pagina di pagamento” al termine del riavvio, nella speranza che l’utente avrebbe sborsato il riscatto per avere un codice di sblocco, ma in genere si poteva ripristinare il cellulare senza estorsioni – il malware non codificava i dati, interferiva solo con la procedura di avvio.
Di recente, il malware che usa la crittografia per rendere illeggibili i file si è diffuso in misura crescente su Android, anche se il ransomware che attacca i dispositivi mobili non sembra causare gli stessi problemi che hanno gravemente penalizzato i computer Windows.
Per quanto riguarda il cryptojacking, che vede gli imbroglioni tentare di “prendere in prestito” il processore del telefono per il mining di criptovalute, abbiamo identificato più di 20.000 varianti del malware di cryptomining Loapi nella seconda metà del 2017.
E agli inizi di quest’anno abbiamo visto script di mining (i cosiddetti “miner”) basati su Coinhive aggiunti a copie manomesse di app molto popolari, come Netflix e Instagram, ma anche di app dedicate al calcio e di altro tipo basate su framework Web come Cordova.
Una buona parte di questi miner è stata distribuita attraverso store di terzi, ma ne abbiamo individuati diversi anche su Google Play.
Dove sono accessibili i prodotti Sophos Mobile Security ai nostri lettori?
Basta andare su https://sophos.com/freetools e scegliere iOS o Android.