Doctor Web, una società specializzata in sicurezza informatica, ha rilevato una nuova minaccia per gli utenti di dispositivi Android: Android.Spy.SpinOk, un modulo dannoso integrato in diverse app e giochi disponibili nel Play Store di Google. Secondo quanto riferito, pare sia in grado di raccogliere e trasferire dati personali sensibili degli utenti agli aggressori, nonché di sostituire e caricare il contenuto degli appunti su un server remoto. Android.Spy.SpinOk si presenta come uno strumento di marketing che offre agli utenti mini-giochi, un sistema di attività ed estrazioni a premi. Ma dietro questa facciata innocua, stabilisce una connessione con un server di comando e controllo e invia informazioni tecniche sul dispositivo infetto, tra cui dati provenienti dai sensori come il giroscopio e il magnetometro. Inoltre, Android.Spy.SpinOk carica banner pubblicitari nella WebView con collegamenti arbitrari ricevuti dal server. Tali elementi grafici contengono codice JavaScript che può accedere ai file e agli appunti presenti sul dispositivo dell’utente. Di conseguenza, gli aggressori possono rubare informazioni riservate come password, numeri di carta di credito, documenti e altro ancora.

Ecco la top ten dei programmi più popolari in cui è stato rilevato l’SDK trojan Android.Spy.SpinOk:

• Noizz: editor video con musica (almeno 100.000.000 di installazioni),
• Zapya- Trasferimento, condivisione di file (almeno 100.000.000 di installazioni; il modulo trojan era presente dalla versione 6.3.3 alla versione 6.4 ed è assente nella versione attuale 6.4.1),
• VFly: video editor&video maker (almeno 50.000.000 di installazioni),
• MVBit – MV video status maker (almeno 50.000.000 di installazioni),
• Biugo: video maker&video editor (almeno 50.000.000 di installazioni),
• Crazy Drop (almeno 10.000.000 di installazioni),
• Cashzine – Earn money reward (almeno 10.000.000 di installazioni),
• Fizzo Novel – Reading Offline (almeno 10.000.000 di installazioni),
• CashEM:Get Rewards (almeno 5.000.000 di installazioni),
• Tick:watch to earn (almeno 5.000.000 di installazioni).

La lista completa delle app può essere consultata al seguente link.

Leggi anche: App che rubano la password di Facebook

*illustrazione articolo progettata da  Freepik

Prima, c’è stata la fine del mercato dell’outsourcing, l’esternalizzazione dei servizi IT di multinazionali americane ed europee verso aziende indiane, dove i programmatori sono molto bravi e costano meno dell’equivalente occidentale, poi l’esplosione dell’intelligenza artificiale, delle piattaforme cloud e dei servizi già strutturati di Google, Microsoft e AWS Amazon. Adesso è il turno dell’hack-for-hire, ovvero la possibilità di diventare cybermercenari, trasformarsi da white-hat e hacker etici in black-hat e hacker che attaccano per creare davvero dei danni e trafugare informazioni.

Attacchi  a “fin di male”

Il mercato indiano dell’hack-for-hire è diventato così una realtà, anche se, a tutt’oggi, è difficile quantificare l’entità di tale fenomeno. Sta di fatto che in India, come in altre parti del mondo, ci sarebbero individui o gruppi di individui che offrirebbero i loro servizi di hacking a terze parti per scopi illeciti, come il furto di informazioni sensibili o il sabotaggio di sistemi informatici. Tuttavia, non bisogna subito etichettare questi hacker indiani – che compiono attacchi a “fin di male” – come criminali che operano per forza illegalmente, e considerare il loro lavoro come un reato. Molti di questi gruppi, infatti, agirebbero da remoto per conto di aziende di servizi di consulenza per la sicurezza digitale, le quali, nondimeno, sarebbero solo una copertura per attacchi mirati su commissione. Attacchi di spionaggio industriale, sabotaggio, fino alla ricerca di prove di tradimenti o di soldi “imboscati” in divorzi e cause di separazione.

Secondo il Centro internazionale per gli studi e la strategia CSIS, l’hack-for-hire copre buona parte delle attività criminali online e supera l’1% del prodotto interno lordo mondiale.

Dove? A Gurugram!

Pare che nella cittadella della tecnologia di Gurugram, nello stato di Haryana, dove hanno sede tutti le grandi aziende come Google, Meta e Microsoft, alcune imprese di consulenza indiane facciano da copertura a un giro di cyber-mercenari che attaccherebbero privati cittadini in tutto il mondo con tariffe che vanno da poche centinaia a qualche migliaio di dollari. Sfonderebbero gli account Facebook e i backup di Android, scaricherebbero i dati, filtrerebbero la corrispondenza e le immagini alla ricerca di quello che il committente chiede. Una vera e propria industria dell’hack su richiesta, in pratica, perfetta per fidanzati gelosi, amanti traditi, dirigenti in cerca di vendetta contro colleghi scomodi, segreti industriali, piani marketing per prodotti ancora da lanciare. E dietro a tutto ciò non ci sarebbero gruppi hacker sconosciuti, come spesso avviene. Bensì aziende note, come BellTroX e Appin, che hanno una facciata “pulita” da consulenti, ma di nascosto fanno lavori online illegali grazie ai cybermercenari.

Secondo Google e gli altri

I ricercatori per la sicurezza del gruppo di Google distinguono questi gruppi di “hack-for-hire” dai fornitori di sorveglianza commerciale che vendono capacità tecniche. I gruppi, dicono, “conducono gli attacchi da soli”, hanno organigrammi ben definiti e, ovviamente, agiscono nell’illegalità più completa. Reuters, la famosa agenzia britannica, ha registrato alla fine del 2022, 75 attacchi mirati ad aziende e dirigenti europei e statunitensi. Ma ci sono anche attivisti dei diritti umani, giornalisti, magistrati e altre figure in possesso di importanti informazioni o bersaglio di campagne di odio. Tej Singh Rathore, un hacker indiano di 28 anni “passato al lato oscuro”, si è vantato con i giornalisti sotto copertura per un’altra inchiesta del Sunday Times, di aver violato più di 500 account di posta e di aver compromesso un migliaio di profili Facebook e Linkedin. Secondo l’uomo, “La Gran Bretagna e tutto il mondo oggi stanno usando gli hacker indiani”.

Attaccanti e vittime

Le violazioni compiute da questo tipo di cybercriminali, pare siano relativamente poche ma estremamente fruttuose. Non si tratterebbe di attacchi su misura (i più insidiosi, se ben condotti, visto che non mostrano i danni che fanno e sono spesso relativi alla cancellazione dei dati o alla richiesta di ransomware), ma di azioni che mirano a scoprire dei segreti e a entrare in possesso di informazioni riservate per conto di un committente che, solo successivamente, ne trarrà un vantaggio.

Appin e BellTroX?

Aziende come Appin, nata a New Delhi nel 2010 e bloccata dalle autorità pochi anni dopo, pare fosse il centro di sviluppo di questo tipo di attività. Sono aziende nate come normali società di investigazioni digitali o come aziende che si occupavano di cybersicurezza e sono diventate rapidamente dei “detective privati” al soldo di committenti senza scrupoli. Avrebbero fornito sottobanco servizi illegali e permesso per esempio la violazione di centinaia di sistemi pubblici e il furto di informazioni protette da segreto industriale. Appin è stata smascherata da alcuni esperti norvegesi di sicurezza ed è stata chiusa, anche se i suoi esperti si sono riciclati con altre aziende (forse per fornire gli stessi servizi?). BellTroX, invece, smascherata dai servizi americani che hanno cercato di arrestare il suo responsabile, Sumit Gupta, pare abbia violato più di diecimila account di posta e altrettanti account di Facebook. Meta ha cancellato i 400 account di BellTroX che sarebbero stati usati per tendere trappole agli utenti con richieste di amicizia necessarie alla parte di ingegneria sociale.

Gli attacchi dei cybermercenari provengono spesso da Paesi come Cina, Russia, Corea del Nord, Iran e India.

Le automobili sono vulnerabili a un cyberattacco da remoto? La risposta è sì, sempre più spesso. E non solo le auto elettriche che si presume siano dotate di sistemi informatici avanzati. Anche una moderna berlina, persino un’utilitaria può essere hackerata. Questo dipende dal fatto che ormai da più di venti anni i sistemi critici di un’automobile sono gestiti con dei microchip. Secondo una indagine del New York Times in una berlina ci sono circa tremila chip di 40 tipi diversi, dai microcontroller (tipo Arduino) a veri e propri processori. È una delle ragioni per cui durante la pandemia le case automobilistiche hanno avuto difficoltà con la produzione di veicoli: la scarsità dei processori made in China ha impattato soprattutto loro. Dal punto di vista di chi vuole hackerare un’auto, però, questa è una vera e propria fortuna.

Le marche più colpite

I diversi tipi di microcontroller e relativi firmware o sistemi più complessi offrono una montagna di opportunità per chi voglia sperimentare con tecniche inedite e capire come funzionino. Dopo un rapido studio la parte più facile da capire è che i chip utilizzati nel settore non vengono particolarmente curati dal punto di vista della prevenzione. Sono state identificate da un gruppo di hacker etici americani varie vulnerabilità di Ferrari, Bmw, Rolls Royce e Porsche. Ma i marchi sono molti di più, anche perché spesso le componenti sono riutilizzate da brand diversi. In particolare, spiega il ricercatore di cybersicurezza Sam Curry, è possibile accendere da remoto a vari modelli di Kia, Honda, Infiniti, Nissan e Acura. Oppure si possono controllare varie funzionalità delle Mercedes, delle Hyundai e delle Genesis.

Le auto di Elon Musk non hanno chiavi meccaniche o fili dell’accensione da mandare in corto per avviare il mezzo. Per aprirle, secondo il consulente per la sicurezza Sultan Qasim Khan, di Ncc Group, basta intercettare la comunicazione Bluetooth.

Sfondare i portali?

Non ci sono solo le vulnerabilità delle auto ma anche quelle dei sistemi gestionali delle aziende che le producono. Si possono anche, secondo altre fonti, violare i siti di BMW, Rolls Royce, Ferrari e Spireon prendendo il controllo degli account degli acquirenti di queste automobili, ricavare numero di telaio e di serie dei modelli comprati, creare account aziendali fasulli e fare modifiche, creare liste di accesso e modificare per esempio l’indicazione di chi ha comprato un particolare modello o pezzo di ricambio. Secondo Curry, anche Ford, Reviver, Porsche, Toyota, Jaguar e Land Rover hanno problematiche simili, che permettono se non altro di rivelare i nomi, gli indirizzi, la mail e il telefono dei clienti che hanno acquistato i veicoli negli ultimi anni.

Insicurezza di massa

L’automobile è uno dei sistemi di trasporto più utilizzato e diffuso al mondo. Si può accedere facilmente ai sistemi perché non cambiano dopo essere stati messi in commercio. Sono basati su versioni che non vengono mai patchate di Android per il sistema di infotainment o anche del VOS, il Vehicle Operating System che controlla il motore, la trasmissione e altre funzioni di guida dell’automobile. Con il passare del tempo le vulnerabilità vengono scoperte ma le auto, che hanno cicli di vita di dieci e più anni, non prevedono neanche la possibilità di aggiornamenti.

Entrare senza problemi

Il primo punto di insicurezza è l’apertura dell’auto quando questa avviene senza chiavi. In Germania su 237 modelli di auto che si aprono keyless, 230 possono essere aperti con un attacco di tipo relay, cioè registrando e ripetendo il segnale codificato. Ma ci sono anche gli attacchi che permettono di sfruttare le vulnerabilità dei sistemi interni e di controllare tutto: dal sistema di intrattenimento all’accensione sino all’impianto di climatizzazione. Questo dell’insicurezza delle auto moderne è uno dei problemi più grandi che, nei prossimi anni, peggiorerà sempre di più man mano che gli attuali, nuovi modelli, invecchieranno senza patch.

La nuova leva delle automobili che utilizzano sistemi operativi di guida autonoma usano DriveWorks, sviluppato da Nvidia, che fornisce anche l’hardware. Red Hat ha sviluppato il suo IVOS, In-Vehicle Operating System basato su Rhel, Red Hat Enteprise Linux. Google, Microsoft e Apple collaborano per creare una piattaforma comune di guida autonoma chiamata Mentor Nucleus OS.

Leggi anche: auto elettriche con il bug

 Mandiant ha pubblicato una ricerca a seguito della scoperta di un nuovo malware specializzato per i sistemi OT, chiamato COSMICENERGY. A seguito di indagini e valutazioni, Mandiant ritiene che questo malware sia stato progettato per causare interruzioni dell’energia elettrica, interagendo con le unità terminali remote (RTU), comunemente utilizzate nelle operazioni di trasmissione e distribuzione elettrica in Europa, Medio Oriente e Asia. Il malware pare sia stato creato da un contractor di Rostelecom-Solar, una società russa di cyber security, come parte di uno strumento di red teaming per simulare esercitazioni di interruzione di energia. Secondo fonti pubbliche, Rostelecom-Solar nel 2019 ha ricevuto una sovvenzione da parte del governo russo per iniziare a formare esperti di sicurezza informatica e condurre esercitazioni di interruzione di energia elettrica e di risposta alle emergenze.
L’analisi del malware e delle sue funzionalità rivela che:

• COSMICENERGY è paragonabile, per quanto riguarda le capacità, a INDUSTROYER e INDUSTROYER.V2;
• COSMICENERGY presenta notevoli somiglianze tecniche con altre famiglie di malware OT, tra cui IRONGATE, TRITON e INCONTROLLER;
• Questa scoperta suggerisce che le barriere per limitare le attività offensive delle minacce OT si stanno pericolosamente abbassando.

Smart speaker, così come altri dispositivi dotati di microfono, sono prodotti a rischio: un team di ricercatori delle università del Texas e del Colorado ha difatti dimostrato come sia possibile inviare comandi vocali sfruttando frequenze non udibili dagli esseri umani, ma captati dai loro microfoni. L’attacco, chiamato NUIT (Near-Ultrasound Inaudible Trojan) funziona con tutti i principali assistenti digitali, ovvero Amazon Alexa, Google Assistant, Apple Siri e Microsoft Cortana: basta un audio con frequenza compresa tra 16 e 20 kHz (ad esempio durante la riproduzione di un video da YouTube o altra piattaforma) per far eseguire dei comandi all’assistente digitale senza che l’utente se ne accorga, e questo potrebbe essere un grosso problema se l’assistente è collegato al sistema di allarme o a meccanismi di apertura di porte o finestre (potete trovare su YouTube un video esplicativo su questa tipologia di attacco). I ricercatori descrivono così sul loro sito il lavoro condotto: “NUIT è un nuovo attacco impercettibile contro gli assistenti vocali (Siri, Google Assistant, Alexa, Cortana) che può essere condotto da remoto tramite Internet”. Purtroppo al momento, a parte Siri, nessun altro assistente può limitare l’esecuzione dei comandi su una voce specifica.

Project Zero, il team di ricerca sulla sicurezza di Google ha scoperto che i modem Samsung Exynos, utilizzati su diversi modelli della serie Galaxy, sui Pixel 6 e 7 con chip Tensor, sui dispositivi mobile Vivo, sui Galaxy Watch4 e 5 e su tutti i veicoli che utilizzano il chipset Exynos Auto T5123, soffrono di vulnerabilità zero-day che permettono l’esecuzione di codice da remoto da parte di un qualunque malintenzionato; basta solo che questi conosca il numero di telefono della potenziale vittima.

Al momento, Google ha introdotto delle patch per i Pixel con l’aggiornamento di sicurezza rilasciato il mese scorso; anche Samsung ha rilasciato degli aggiornamenti, ma ancora non tutti i prodotti coinvolti sono stati patchati. Per essere sicuri di essere protetti da eventuali attacchi è possibile soltanto disattivare le chiamate Wi-Fi e Voice-over-LTE (VoLTE) nelle impostazioni.

Leggi anche: Microsoft pubblica una patch per correggere 6 vulnerabilità Windows

Kaspersky ha individuato su Telegram una fiorente community che offre servizi di phishing, sia gratuiti che a pagamento, con pacchetti di Phishing-as-a-service offerti a un costo variabile tra i 10 e i 300 dollari e pensati per rubare sia dati personali che denaro. I suggerimenti offerti per difendersi sono i classici: basta imparare velocemente a non diffondere i propri dati, osservare con cura le email e non lasciarsi ingannare dai toni allarmistici di alcune di esse, ma anzi dubitare sempre della loro bontà e verificare gli indirizzi in esse contenuti. Evitiamo anche le connessioni non sicure (ad esempio le Wi-Fi pubbliche), sulle quali la sicurezza è inferiore e per i cybercriminali è semplice reindirizzare la navigazione degli utenti verso siti di phishing. Infine, verifichiamo sempre che i siti bancari siano veicolati tramite connessione HTTPS (e ovviamente non forniamo mai dati per email o chat Telegram!). Kaspersky ha rilevato negli ultimi sei mesi oltre 2,5 milioni di URL generati dai kit di phishing offerti su Telegram.

Leggi anche: Telegram per macOS a rischio!