Evoluzione delle minacce informatiche nel terzo trimestre del 2015

Transcript

1 Evoluzione delle minacce informatiche nel terzo trimestre del 2015 David Emm Maria Garnaeva Roman Unuchek Denis Makrushin Anton Ivanov Il trimestre in cifre... 2 Il quadro della situazione... 3 Attacchi mirati... 3 Turla, il malware via satellite... 3 Darkhotel, si allunga la lista degli ospiti... 5 Blue Termite... 5 Le "storie" di sicurezza IT più significative del trimestre... 6 CoinVault, siamo al capolinea?... 6 Un serpente nel giardino recintato di Apple... 7 La Gaza cyber-gang... 8 Le statistiche del terzo trimestre Le minacce IT per dispositivi mobili... 9 Numero di nuove minacce mobile Ripartizione per tipologie del malware mobile individuato TOP-20 relativa ai programmi malware destinati alle piattaforme mobile Geografia delle minacce mobile I Trojan bancari per piattaforme mobile Le applicazioni vulnerabili maggiormente sfruttate dai malintenzionati Programmi malware in Internet (attacchi tramite siti web) Le minacce online rivolte al settore finanziario TOP-20 relativa agli oggetti rilevati in Internet... 24

2 Geografia delle fonti degli attacchi web: TOP Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet Minacce informatiche locali Oggetti maligni rilevati nei computer degli utenti: TOP Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali Il trimestre in cifre Secondo i dati raccolti tramite il Kaspersky Security Network (KSN) - l estesa rete globale di sicurezza da noi implementata attraverso specifiche infrastrutture in-the-cloud - lungo tutto l arco del terzo trimestre del 2015 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben attacchi condotti attraverso siti Internet compromessi, dislocati in vari paesi. In totale, sono stati individuati e bloccati, da parte del nostro modulo Anti-Virus Web, URL unici. Il nostro Anti-Virus Web ha effettuato il rilevamento di oggetti nocivi unici (script, exploit, file eseguibili, etc.). Sono state complessivamente registrate notifiche relative a tentativi di infezione da parte di programmi malware preposti al furto delle risorse finanziarie degli utenti attraverso l accesso online ai conti bancari degli stessi. Il nostro modulo Anti-Virus File ha rilevato con successo oggetti maligni unici, o potenzialmente indesiderabili. Nel trimestre oggetto del presente report, i prodotti Kaspersky Lab appositamente sviluppati per assicurare la protezione IT dei dispositivi mobili hanno effettuato il rilevamento di: o pacchetti di installazione nocivi; o nuove varianti di programmi dannosi specificamente creati dai virus writer per infettare i dispositivi mobili; o Trojan bancari per piattaforme mobile.

3 Il quadro della situazione Attacchi mirati Turla, il malware via satellite Nel corso di questo ultimo anno, o giù di lì, abbiamo riferito varie volte in merito a Turla (il nostro report iniziale, l analisi di follow-up ed una breve panoramica riguardo a tale estesa campagna sono disponibili su securelist.com). Il gruppo che si cela dietro la campagna di cyberspionaggio qui analizzata è ormai attivo da più di otto anni, ed ha infettato centinaia di computer, in oltre 45 paesi. Le organizzazioni prese di mira comprendono agenzie governative, ambasciate, istituzioni militari, entità operanti nel settore dell istruzione, enti di ricerca e società farmaceutiche. Il gruppo Turla seleziona le proprie vittime mediante l impiego, nelle fasi iniziali, di specifici attacchi watering-hole. Tuttavia, come abbiamo sottolineato nel nostro ultimo report, per condurre le successive operazioni il gruppo si avvale di connessioni Internet satellitari, per gestire il traffico C2 (Comando-e-Controllo). La maggior parte delle persone pensa alle comunicazioni via satellite come ad un mezzo impiegato esclusivamente nell ambito delle trasmissioni televisive; tali connessioni, ad ogni caso, vengono ugualmente utilizzate per fornire l accesso ad Internet. In genere, questo si verifica in aree geografiche remote, in cui altre tipologie di accesso Internet risultano lente, instabili o non disponibili. Uno dei metodi più diffusi e meno costosi, per realizzare l accesso via satellite alla Rete, è rappresentato dalle connessioni di tipo downstream-only. Il metodo di cui si avvale il gruppo Turla per effettuare l hijacking delle connessioni downstream non richiede la sottoscrizione di alcun tipo di abbonamento per poter usufruire di Internet attraverso il collegamento satellitare. Il principale vantaggio, nella circostanza, è che si tratta di un metodo altamente anonimo ed è quindi molto difficile poter identificare gli attaccanti. I ricevitori per Internet via satellite possono essere di fatto ubicati in qualsiasi luogo compreso nell area geografica coperta da un determinato satellite, area che, generalmente, è sempre piuttosto estesa. Tale approccio si rivela quindi molto utile e vantaggioso, in quanto non possono essere facilmente individuati né la location del server C&C, né il relativo hardware di cui si fa effettivamente uso; al tempo stesso, non si corre il rischio di possibili sequestri fisici delle apparecchiature utilizzate. Esso è inoltre meno costoso rispetto all acquisto di una connessione satellitare, nonché più facile da mettere in pratica rispetto all operazione di hijacking del traffico di rete tra la vittima e l operatore satellitare, per poi iniettare dei pacchetti lungo il percorso. Nel momento in cui viene condotto un attacco nei confronti di connessioni Internet via satellite, sia gli utenti legittimi di tali collegamenti, sia le antenne paraboliche utilizzate dagli attaccanti, puntano verso lo specifico satellite che sta trasmettendo il traffico. Nell occasione, gli attacker si approfittano del fatto che i pacchetti non sono criptati, bensì in chiaro. Una volta identificato un indirizzo IP instradato attraverso la connessione satellitare downstream, gli aggressori iniziano ad ascoltare i pacchetti provenienti da Internet e diretti verso l IP specifico. Quando poi viene identificato un simile pacchetto, essi ne determinano l origine ed inviano alla

4 sorgente dello stesso un pacchetto di risposta falsificato, utilizzando una linea Internet tradizionale. Allo stesso tempo, l utente legittimo della connessione semplicemente ignora tale pacchetto, poiché esso si dirige verso una porta altrimenti inutilizzata (ad esempio la porta 80 o 10080). Cliccando sul presente link si può accedere ad un interessante rappresentazione grafica del modo in cui Turla fa uso delle connessioni satellitari. Il gruppo Turla tende a concentrarsi su provider di connessioni Internet via satellite ubicati in Medio Oriente e in Africa, in paesi quali Congo, Libano, Libia, Niger, Nigeria, Somalia ed Emirati Arabi Uniti. Normalmente, le trasmissioni satellitari provenienti da tali aree geografiche non coprono i paesi europei e nordamericani; questo rende estremamente difficile, per i ricercatori operanti nella sfera della sicurezza IT, poter condurre indagini riguardo a simili attacchi. L utilizzo delle connessioni Internet satellitari da parte del gruppo Turla costituisce uno sviluppo di indubbio interesse. L hijacking della larghezza di banda downstream comporta costi decisamente contenuti (circa dollari $ per l investimento iniziale, e circa $ all anno per le operazioni di manutenzione), è semplice da realizzare e garantisce un elevato livello di anonimato. Dall altro lato, tale approccio non presenta sempre lo stesso grado di affidabilità di alcuni dei metodi più tradizionali e collaudati, quali l hosting di tipo bullet proof, l utilizzo di livelli proxy multipli o di siti web violati tutti metodi di cui il gruppo Turla fa ugualmente uso. Questo rende meno probabile un eventuale utilizzo dell hijacking dei collegamenti Internet via satellite nell ambito della gestione di estese botnet. Tuttavia, qualora tale metodo trovi una larga diffusione tra i gruppi APT o presso gli ambienti cybercriminali, sorgeranno

5 inevitabilmente seri problemi per l industria della sicurezza IT e per gli organismi preposti all applicazione delle leggi vigenti. Darkhotel, si allunga la lista degli ospiti Nel mese di novembre del 2014 è stata da noi pubblicata una prima analisi in merito alla famigerata minaccia APT definita Darkhotel. Tali attacchi risultavano caratterizzati dall uso improprio di certificati rubati, dal dispiegamento di file HTA tramite molteplici tecniche, e dall infiltrazione all interno di reti Wi-Fi di hotel allo scopo di collocare temibili backdoor sui computer presi di mira. Di recente, poi, abbiamo provveduto a pubblicare un dettagliato update riguardo a Darkhotel. Gli attaccanti che si nascondono dietro tale APT continuano ad utilizzare i suddetti metodi; nel frattempo, tuttavia, essi hanno notevolmente ampliato il proprio arsenale. Gli aggressori hanno spostato la loro attenzione in particolar modo verso mirate operazioni di spearphishing, condotte a danno delle vittime prescelte. Oltre ai consueti file HTA, poi, essi stanno ugualmente distribuendo file RAR infetti, servendosi, tra l altro, del meccanismo denominato RTLO (right to left override, per ottenere la scrittura dei caratteri da destra a sinistra, a livello di nome del file), allo scopo di mascherare la reale estensione del file stesso. Gli attacker in questione, infine, fanno anche uso di exploit Flash, incluso un exploit zero-day messo in circolazione a seguito dell eclatante fuga di dati subita dalla società Hacking Team. Nel corso del 2015, Darkhotel ha esteso considerevolmente il proprio raggio d azione, a livello geografico; si registrano, in effetti, vittime di tale APT in Corea del Nord, Russia, Corea del Sud, Giappone, Bangladesh, Thailandia, India, Mozambico e Germania. Blue Termite Nello scorso mese di agosto, abbiamo pubblicato l analisi dei nostri esperti riguardo all APT Blue Termite, una sofisticata campagna di cyber-spionaggio basata su attacchi di natura mirata, focalizzata sul furto di informazioni riservate relative ad organizzazioni ubicate entro i confini del territorio giapponese. I target prediletti da Blue Termite includono agenzie governative, enti governativi locali, gruppi di interesse pubblico, università, banche, servizi finanziari, così come società operanti in settori quali energia, comunicazioni, industria pesante, chimica, automotive, elettricità, mass media, servizi di informazione, sanità, settore immobiliare, alimentare, semiconduttori, robotica, costruzioni, assicurazioni, trasporti ed altro ancora. Uno dei target di profilo più elevato è risultato ad esempio essere il Japan Pension Service.

6 Il malware in causa viene personalizzato a seconda della vittima specifica. La backdoor Blue Termite custodisce i dati relativi a se stessa, compreso le informazioni riguardanti il server C2 e il nome dell API, così come apposite stringhe volte ad impedire eventuali analisi, i valori dei mutex, il checksum MD5 dei comandi della backdoor e le informazioni sul proxy interno. I dati si presentano in forma criptata, rendendo quindi più complessa l analisi del malware; per ogni sample occorre, in pratica, una chiave di decodifica unica. Il metodo principale di infezione, così come per molte campagne basate su attacchi mirati, è rappresentato dall invio di di spear-phishing alle potenziali vittime. Abbiamo ad ogni caso rilevato ulteriori metodi di infezione. Questi ultimi includono gli attacchi di tipo drive-by download, realizzati tramite un exploit Flash (CVE ), ovvero uno degli exploit posti in circolazione a seguito della fuga di dati subita da Hacking Team. Numerosi siti web giapponesi sono stati compromessi proprio con tale modalità. Abbiamo ugualmente individuato alcuni attacchi di tipo watering-hole ; segnaliamo, tra di essi, un assalto portato nei confronti di un sito web appartenente ad un membro di spicco del governo giapponese. Le "storie" di sicurezza IT più significative del trimestre CoinVault, siamo al capolinea? Il 14 settembre 2015 la polizia informatica olandese ha proceduto all arresto di due persone sospette, a seguito del presunto coinvolgimento delle stesse negli attacchi informatici riconducibili al ransomware CoinVault. L arresto si è reso possibile grazie agli sforzi congiunti

7 prodotti da Kaspersky Lab, Panda Security e dalla National High Tech Crime Unit (NHTCU) olandese, i quali hanno pienamente evidenziato gli innegabili vantaggi derivanti dalla collaborazione tra forze di polizia e ricercatori operanti nel campo della sicurezza IT. La campagna di malware in questione ha avuto inizio nel mese di maggio del 2014, per poi proseguire nel corso dell anno corrente. Essa ha bersagliato target ubicati in oltre 20 paesi; la maggior parte delle vittime è stata registrata nei Paesi Bassi, in Germania, Stati Uniti, Francia e Gran Bretagna. Nella circostanza, i malfattori sono riusciti a criptare file su oltre computer provvisti di sistema operativo Windows, richiedendo poi alle vittime un pagamento in Bitcoin per decodificare i dati custoditi sulle macchine sottoposte ad attacco. I criminali informatici responsabili della conduzione della campagna ransomware qui descritta hanno modificato le loro creature varie volte, per poter continuare a prendere di mira nuove vittime. La nostra prima analisi riguardo al ransomware CoinVault è stata pubblicata nel mese di novembre 2014, subito dopo la comparsa del primo sample del programma malware in causa. La campagna nociva si è poi interrotta sino ad aprile 2015, mese in cui abbiamo individuato un nuovo sample di CoinVault. Sempre nello stesso mese, Kaspersky Lab e la NHTCU dei Paesi Bassi hanno lanciato un sito web con funzione di repository delle chiavi di decodifica. Oltre a questo, abbiamo reso disponibile, online, un apposito tool di decodifica, allo scopo di aiutare le vittime del ransomware a recuperare i loro dati, senza dover pagare il riscatto richiesto. Dopo aver pubblicato il sito, Kaspersky Lab è stata contattata da Panda Security, la quale, nel frattempo, aveva raccolto interessanti informazioni riguardo ad ulteriori sample del malware. Nella circostanza, siamo stati in grado di confermare che tali campioni erano di fatto correlati a CoinVault. Abbiamo quindi passato le informazioni alla NHTCU olandese. Potete trovare qui la nostra analisi in merito alle mille tortuosità che hanno accompagnato il complesso percorso di CoinVault. Il ransomware è purtroppo divenuto un elemento costante nel torbido panorama delle minacce IT. Mentre il caso qui esaminato dimostra come la collaborazione tra i ricercatori e le forze dell ordine possa condurre a risultati ampiamente positivi, risulta essenziale, per gli utenti consumer e corporate, adottare opportune misure di sicurezza, per mitigare i rischi generati dalla presenza di questa specifica tipologia di malware. Le operazioni cybercriminali che prevedono il dispiegamento di temibili programmi ransomware si basano proprio sull'auspicato pagamento del riscatto da parte degli utenti-vittima. Oltre a disporre di un efficace protezione anti-malware, è quindi importante effettuare regolarmente il backup dei propri dati, per evitare possibili perdite degli stessi e la necessità di dover ricorrere al pagamento di un riscatto. Un serpente nel giardino recintato di Apple La recente comparsa di applicazioni nocive nell App Store ha evidenziato come, contrariamente a quanto credono in molti, il sistema operativo ios non sia immune dal malware.

8 Nel caso specifico, il malware denominato XcodeGhost ha infettato decine di applicazioni, tra cui WeChat, l app di NetEase per il download di brani musicali, CamCard - lo scanner professionale per i biglietti da visita - e la taxi app di Didi Kuaidi per il car-hailing. Sono state ugualmente infettate le versioni cinesi di Angry Birds 2. Nell occasione, gli attaccanti non hanno hackerato l App Store, ma hanno invece fatto ricorso ad una versione contraffatta di Xcode di Apple. Xcode, come è noto, è la suite gratuita di tool di cui fanno uso gli sviluppatori software per creare le applicazioni ios. È ufficialmente distribuita da Apple e, in maniera non ufficiale, anche da terze parti; qualcuno, in Cina, ha reso disponibile per il download una versione di Xcode contenente il codice dannoso XcodeGhost. Gli attacker hanno semplicemente sfruttato il fatto che alcuni sviluppatori cinesi scelgono di scaricare i tool di sviluppo, quali il noto strumento IDE della casa di Cupertino, direttamente dai server locali, visto che l operazione di download può essere effettuata con maggiore rapidità. Qualsiasi applicazione creata utilizzando la versione modificata di Xcode risulterebbe infetta. Tali app nocive realizzano il furto di dati dai dispositivi mobili delle loro vittime ed inviano poi ai malintenzionati le informazioni carpite. Si era ritenuto, inizialmente, che ben 39 applicazioni infette avessero bypassato il processo di scansione implementato da Apple, e fossero state quindi caricate all interno dell App Store. Le app dannose in questione sono ad ogni caso state rimosse da Apple. La versione compromessa di Xcode è disponibile da circa sei mesi; il numero totale di applicazioni infette potrebbe così rivelarsi decisamente superiore, anche perché il codice sorgente di XcodeGhost è stato pubblicato su GitHub. Potete trovare qui un analisi del malware XcodeGhost, effettuata dai ricercatori di Palo Alto Networks. L incidente occorso mette in luce un pericolo latente, ovvero il fatto che i programmi possano essere infettati alla loro stessa fonte, qualora vengano compromessi i tool utilizzati dagli sviluppatori. La Gaza cyber-gang Alla fine dello scorso mese di settembre abbiamo riferito in merito alle attività condotte da un altra APT a carattere regionale, la Gaza cyber-gang. Si tratta di un gruppo arabo animato da motivazioni politiche, operante nell ambito della regione MENA (Medio Oriente e Nord Africa), focalizzato in particolar modo su Egitto, Emirati Arabi Uniti e Yemen. Il gruppo è interessato alle agenzie e agli enti governativi, in special modo le ambasciate, là dove le attività informatiche e le misure di sicurezza intraprese potrebbero non rivelarsi del tutto solide e affidabili. La Gaza cyber-gang opera sin dall anno 2012, ma è divenuta particolarmente attiva nel secondo trimestre del La gang invia attivamente il malware al personale IT e IR (Incident Response, risposta agli incidenti) che lavora presso le organizzazioni prese di mira: di fatto, i nomi dei file inviati alle vittime riflettono le funzioni IT o gli strumenti IR utilizzati per investigare sui cyber-attacchi. Non è certo difficile capire il perché. Il personale IT, in genere, dispone di diritti di accesso più elevati rispetto agli altri dipendenti, visto che il suo compito è proprio quello di gestire le

9 infrastrutture informatiche aziendali. Il personale IR, da parte sua, ha verosimilmente accesso ai dati sensibili relativi alle cyber-indagini in corso; esso dispone, inoltre, di diritti di accesso particolarmente estesi, i quali consentono di poter sorvegliare meglio eventuali attività sospette nell ambito della rete. Questo significa che, in tal modo, gli attacker non solo ottengono l accesso ai computer dei dipendenti delle organizzazioni target, ma possono ugualmente estendere il loro raggio d azione all interno del network sottoposto ad assalto. I principali moduli di cui si avvale il gruppo APT per realizzare l infezione informatica sono costituiti da RAT (Remote Access Trojans, trojan di accesso remoto) ampiamente diffusi: XtremeRAT e PoisonIvy. Le attività condotte si basano fortemente sul dispiegamento di tecniche di ingegneria sociale. La Gaza cyber-gang fa uso di nomi di file speciali, correlati a funzioni IT e IR, così come di contenuti e nomi di dominio (ad esempio.gov.uae.kim ) che possono probabilmente rivelarsi interessanti per le potenziali vittime degli attacchi. Le statistiche del terzo trimestre 2015 Tutti i dati statistici riportati nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all'attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un'efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi paesi e territori del globo. Le minacce IT per dispositivi mobili Il principale metodo di monetizzazione previsto nell ambito delle minacce mobile consiste tuttora nel far sì che gli utenti visualizzino sui propri dispositivi pubblicità di vario genere. Continua di fatto ad aumentare il numero dei programmi che impongono la visione forzata, molesta ed invadente di réclame di ogni tipo sugli smartphone e sui tablet degli utenti; nel terzo trimestre dell anno in corso, oltre la metà del volume complessivo degli oggetti mobile rilevati è risultata essere costituita da programmi AdWare. Allo stesso tempo, abbiamo osservato una significativa crescita del numero di quei programmi che utilizzano la pubblicità come strumento primario di monetizzazione e, per raggiungere tale scopo, fanno ricorso a tecniche e metodi propri del nutrito arsenale di cui dispongono i virus writer. Spesso, tali programmi ottengono l accesso root al dispositivo della vittima, e si avvalgono poi dei diritti di superutente; questo rende particolarmente complessa, se non addirittura impossibile, la lotta nei loro confronti. Nel terzo trimestre del 2015, i Trojan riconducibili a questa specifica tipologia hanno costituito, da soli, più della metà del numero di software nocivi per dispositivi mobili presenti nella TOP- 20 relativa ai malware mobile in assoluto più dffusi.

10 Così come in precedenza, continuano ad essere attuali, in qualità di metodo per realizzare profitti illeciti, anche i Trojan-SMS, soprattutto in Russia. Ricordiamo, nell occasione, che questi programmi nocivi sono adibiti all invio di costosi messaggi a pagamento dal dispositivo infetto, all insaputa dell utente-vittima. Sebbene la loro quota, nel flusso globale delle minacce informatiche mobile, continui a diminuire, i Trojan-SMS detengono tuttora la posizione di leadership, tra i programmi dannosi per dispositivi mobili, relativamente al numero di nuovi sample individuati nell arco del trimestre. Nella sfrenata corsa al profitto, i malintenzionati non si limitano, comunque, a generare la visualizzazione forzata, da parte degli utenti, di pubblicità di ogni genere, e nemmeno all invio di messaggi SMS a pagamento. Di fatto, i cybercriminali si dimostrano sempre molto interessati agli account bancari degli utenti. Nel trimestre qui esaminato, nell ambito delle nuove minacce mobile, la quota complessivamente ascrivibile a Trojan bancari e spyware per dispositivi mobili, in grado di realizzare il furto dei dati personali degli utenti, ha in effetti superato di 0,7 punti percentuali l indice relativo ai Trojan-SMS. Numero di nuove minacce mobile Nel terzo trimestre del 2015 i prodotti Kaspersky Lab adibiti alla protezione IT dei dispositivi mobili hanno rilevato nuove varianti di malware mobile, ovvero un numero di minacce superiore di 1,1 volte rispetto all analogo valore riscontrato nel secondo trimestre del 2015, e di ben 3,1 volte rispetto a quanto rilevato nel primo trimestre dell anno in corso. Nel periodo oggetto della nostra analisi sono stati complessivamente individuati pacchetti di installazione nocivi, in sostanza un numero di pacchetti dannosi superiore di 1,5 volte rispetto all analoga quantità rilevata nel trimestre precedente. Numero complessivo di pacchetti di installazione maligni e di nuove minacce mobile individuati nel periodo 1 trimestre trimestre 2015

11 Ripartizione per tipologie del malware mobile individuato Suddivisione delle nuove varianti di malware mobile in base ai loro specifici comportamenti dannosi Secondo e terzo trimestre del 2015 a confronto La speciale graduatoria del terzo trimestre del 2015 riservata alla ripartizione degli oggetti maligni per dispositivi mobili in base agli specifici comportamenti nocivi da essi evidenziati, risulta capeggiata dagli Adware, ovvero le fastidiose applicazioni pubblicitarie potenzialmente indesiderate. Ricordiamo che, nell analogo rating relativo al trimestre precedente, gli Adware occupavano il secondo gradino del podio virtuale, con una quota pari al 19%; nel trimestre qui analizzato l indice percentuale ad essi ascrivibile è sensibilmente aumentato, sino a raggiungere un valore pari al 52,2%. Alla seconda piazza della graduatoria troviamo poi i RiskTool; si tratta, di fatto, di applicazioni legittime, le quali, tuttavia, possono rivelarsi potenzialmente pericolose per gli utenti; Il loro utilizzo da parte di malintenzionati, oppure un uso inappropriato delle stesse da parte del proprietario dello smartphone, può in effetti generare perdite di natura finanziaria. Rispetto al trimestre precedente, la quota relativa ai RiskTool ha fatto registrare una diminuzione pari a 16,6 punti percentuali; tale tipologia di applicazioni mobile ha così perso il primo posto in classifica. Risulta ulteriormente diminuito, nel flusso globale delle minacce mobile, l indice inerente ai Trojan-SMS (- 1,9%); esso si è in tal modo attestato su un valore medio pari al 6,2%. Ad ogni caso, i Trojan-SMS detengono tuttora la leadership nell ambito dei programmi malware destinati alle piattaforme mobile.

12 Direttamente alle spalle dei Trojan-SMS, nella speciale classifica trimestrale, si sono piazzati i Trojan-Spy, con una quota del 5,4%. Tali programmi nocivi realizzano il furto dei dati personali degli utenti; essi intercettano, tra l altro, gli SMS in entrata provenienti dagli istituti bancari e contenenti il codice segreto mtan. Tra i malware mobile, nel terzo trimestre dell anno in corso, il tasso di crescita più elevato è stato fatto registrare dai Trojan-Banker, la cui quota percentuale risulta più che raddoppiata; essa si è in effetti attestata su un valore pari all 1,5%, contro lo 0,6% osservato relativamente al secondo trimestre del Nel trimestre precedente sono stati rilevati 630 programmi riconducibili a tale categoria; nel trimestre qui esaminato, ne sono stati invece individuati più di 2.500, ovvero 4 volte di più. TOP-20 relativa ai programmi malware destinati alle piattaforme mobile Il rating riservato ai programmi maligni, qui sotto inserito, non include i programmi potenzialmente pericolosi o indesiderati, quali i RiskTool ed i software pubblicitari (AdWare). % di utenti Denominazione sottoposti ad attacco* 1 DangerousObject.Multi.Generic 46,6 2 Trojan.AndroidOS.Rootnik.d 9,9 3 Trojan-SMS.AndroidOS.Podec.a 7,4 4 Trojan-Downloader.AndroidOS.Leech.a 6,0 5 Trojan.AndroidOS.Ztorg.a 5,5 6 Exploit.AndroidOS.Lotoor.be 4,9 7 Trojan-Dropper.AndroidOS.Gorpo.a 3,3 8 Trojan-SMS.AndroidOS.Opfake.a 3,0 9 Trojan.AndroidOS.Guerrilla.a 2,9 10 Trojan-SMS.AndroidOS.FakeInst.fz 2,6 11 Trojan-Ransom.AndroidOS.Small.o 2,3 12 Trojan-Spy.AndroidOS.Agent.el 2,1 13 Trojan.AndroidOS.Ventica.a 1,9 14 Trojan.AndroidOS.Ztorg.b 1,9 15 Trojan.AndroidOS.Ztorg.pac 1,8 16 Trojan.AndroidOS.Fadeb.a 1,6 17 Trojan-SMS.AndroidOS.Smaps.a 1,5 18 Trojan.AndroidOS.Iop.a 1,5 19 Trojan.AndroidOS.Guerrilla.b 1,5 20 Trojan-SMS.AndroidOS.FakeInst.fi 1,4 * Quote percentuali relative al numero di utenti attaccati da tali malware mobile, sul numero complessivo di utenti unici sottoposti ad attacco.

13 Al primo posto della graduatoria, spicca la presenza del malware classificato come DangerousObject.Multi.Generic (46,6%). L individuazione delle nuove applicazioni dannose avviene grazie alle sofisticate tecnologie implementate attraverso la rete globale di sicurezza Kaspersky Security Network (KSN), le quali permettono ai nostri prodotti anti-malware di poter reagire in ogni frangente, con la massima rapidità, nei confronti di minacce IT nuove o sconosciute. Desideriamo porre in evidenza come, nel flusso globale, la quota relativa al malware identificato con la denominazione di DangerousObject.Multi.Generic sia in pratica triplicata rispetto al trimestre precedente, visto che la stessa è passata dal 17,5% fatto registrare nel primo trimestre dell anno all attuale 46,6%. Rispetto al precedente rating trimestrale, all interno della TOP-20 in questione risulta sensibilmente aumentato il numero dei programmi Trojan che ricorrono all utilizzo della pubblicità come principale strumento di monetizzazione. Mentre nel secondo trimestre del 2015 facevano parte della speciale graduatoria soltanto sei programmi riconducibili a tale specifica tipologia, nel terzo trimestre dell anno corrente il numero complessivo di questi ultimi è salito ad undici: se scorriamo la TOP-20, troviamo, in effetti, ben tre programmi appartenenti alla famiglia Trojan.AndroidOS.Ztorg, due programmi della famiglia Trojan.AndroidOS.Guerrilla, ed inoltre Trojan.AndroidOS.Rootnik.d, Trojan- Downloader.AndroidOS.Leech.a, Trojan-Dropper.AndroidOS.Gorpo.a, Trojan-Spy.AndroidOS.Agent.el, Trojan.AndroidOS.Ventica.a e, per finire, Trojan.AndroidOS.Fadeb.a. A differenza degli abituali moduli pubblicitari, i suddetti programmi non recano alcun payload. Il loro scopo è esclusivamente quello di recapitare all utente la maggior quantità possibile di réclame, ricorrendo a metodi di vario genere, tra cui l installazione di nuovi software pubblicitari. I Trojan sopra citati possono inoltre utilizzare i diritti di superutente per nascondersi all interno della cartella di sistema; la rimozione degli stessi si rivela essere, quindi, un operazione particolarmente complessa. Evidenziamo la presenza, nel novero dei Trojan pubblicitari, del programma classificato come Trojan- Spy.AndroidOS.Agent.el; esso si incontra, a volte, persino nel firmware ufficiale rilasciato da alcuni produttori. Sottolineiamo, allo stesso tempo, come il temibile malware denominato Trojan-SMS.AndroidOS.Podec.a (7,4%) sia entrato a far parte, per il quarto trimestre consecutivo, della TOP-3 relativa alle minacce mobile maggiormente attive; tale circostanza dipende essenzialmente dalla notevole diffusione di cui esso è oggetto. È di particolare interesse rilevare come le funzionalità possedute dalle ultime versioni del suddetto Trojan si differenzino rispetto a quelle riscontrate nelle release precedenti; le ultime varianti di Podec, in effetti, non prevedono la possibilità di inviare SMS. Questo programma Trojan, adesso, si concentra esclusivamente sulla realizzazione di sottoscrizioni a pagamento, utilizzando, a tale scopo, la funzione di riconoscimento dei CAPTCHA. Al 17 posto della speciale TOP-20 da noi elaborata è andato infine a collocarsi il malware denominato Trojan-SMS.AndroidOS.Smaps.a. Alcune versioni dello stesso sono in grado di inviare spam dietro apposito comando impartito dal server attraverso l applicazione Viber, nel caso in cui quest ultima, ovviamente, risulti installata sul dispositivo mobile della vittima. Per far ciò, al Trojan non occorre alcun permesso speciale, né l esecuzione di una determinata azione da parte dell utente.

14 Geografia delle minacce mobile Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del terzo trimestre del 2015, dai programmi malware specificamente sviluppati per colpire i dispositivi mobili (percentuali calcolate sul numero complessivo di utenti sottoposti ad attacco in ogni singolo paese) TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware per dispositivi mobili: Paese* % di utenti sottoposti ad attacco** 1 Bangladesh 22,57 2 Cina 21,45 3 Nigeria 16,01 4 Tanzania 15,77 5 Iran 13,88 6 Malaysia 13,65 7 Algeria 12,73 8 Nepal 12,09 9 Kenya 11,17 10 Indonesia 10,82 * Nell effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobili risulta ancora relativamente contenuto (meno di utenti). ** Quote percentuali relative al numero di utenti unici sottoposti ad attacco, rispetto al numero complessivo di utenti - in ogni singolo paese - dell antivirus mobile di Kaspersky Lab.

15 I paesi più sicuri in relazione a tale importante indice: Paese % di utenti sottoposti ad attacco** 1 Giappone 1,13 2 Canada 2,87 3 Danimarca 3,20 4 Svezia 3,45 5 Australia 3,48 Rileviamo come, nonostante l Australia faccia parte della TOP-5 che riunisce i paesi più sicuri al mondo in merito all eventualità che si manifestino infezioni generate dal malware mobile, la situazione in tale paese non è così tranquilla e sicura come potrebbe a prima vista sembrare: in effetti, nel terzo trimestre dell anno in corso, gli utenti australiani sono risultati sottoposti agli attacchi portati dai Trojan bancari destinati ai dispositivi mobili con frequenza superiore rispetto agli utenti mobile ubicati negli altri paesi. I Trojan bancari per piattaforme mobile Nel periodo oggetto della nostra consueta analisi trimestrale dedicata all evoluzione del malware mobile, sono stati da noi individuati Trojan-Banker destinati ai dispositivi mobili, ovvero un numero quattro volte superiore rispetto all analoga quantità rilevata per gli stessi nel trimestre precedente. Numero di sample di Trojan bancari per piattaforme mobile presenti nella collezione di Kaspersky Lab (Situazione relativa al periodo 4 trimestre trimestre 2015)

16 Quadro mondiale relativo alla ripartizione geografica dei tentativi di infezione compiuti, nel corso del terzo trimestre 2015, dai Trojan bancari destinati ai dispositivi mobili (numero di utenti sottoposti ad attacco) Il numero complessivo degli utenti sottoposti ad attacco dipende, ovviamente, dal numero totale di utenti mobile presenti in un determinato paese. Per valutare e comparare il livello di rischio esistente, nei vari paesi, riguardo alle infezioni informatiche generate dai Trojan bancari per dispositivi mobili, abbiamo provveduto ad allestire un apposito rating relativo ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte dei suddetti Trojan-Banker. TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di Trojan-Banker per dispositivi mobili: % di utenti attaccati da Trojan Paese* bancari** 1 Australia 0,85 2 Repubblica di Corea 0,40 3 Russia 0,32 4 Cipro 0,32 5 Repubblica Ceca 0,31 6 Austria 0,27 7 Kirghizistan 0,26 8 Bulgaria 0,24 9 Romania 0,23 10 Uzbekistan 0,23 * Nell effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobili risulta ancora relativamente contenuto (meno di utenti). ** Quote percentuali registrate nei vari paesi relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan bancari per piattaforme mobile, rispetto al numero complessivo di utenti - in ogni singolo paese - dell antivirus mobile di Kaspersky Lab.

17 Come evidenzia la tabella qui sopra inserita, la speciale graduatoria del terzo trimestre 2015 risulta capeggiata dall Australia; tale paese, nell analogo rating relativo al trimestre precedente, occupava, invece, l ottava piazza della classifica. Nell arco di soli tre mesi, la quota di utenti sottoposti ad attacco da parte di banker mobile è cresciuta, in Australia, di ben 6 volte, passando dallo 0,14% allo 0,85%. Tale repentino aumento è stato determinato dall utilizzo particolarmente attivo, da parte dei malintenzionati, del malware denominato Trojan-Banker.AndroidOS.Agent.ad. Quest ultimo, in effetti, esegue il furto di login e password necessari per accedere al sistema di banking online allestito da uno degli istituti bancari più importanti d Australia. Allo stesso modo, il suddetto Trojan cerca di carpire i dati sensibili relativi alle carte di credito degli utenti (nome del titolare, numero della credit card, CVV, data di scadenza della stessa). Sottolineiamo, infine, come l indice percentuale relativo alla Corea del Sud, paese che nel secondo trimestre dell anno occupava la prima posizione della TOP-10 qui esaminata, sia diminuito di quasi 6 volte (dal 2,37% allo 0,4%); la Repubblica di Corea è in tal modo scesa al secondo posto del ranking da noi stilato. TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti attaccati da parte di Trojan-Banker per piattaforme mobile, rispetto al numero complessivo di utenti unici sottoposti ad attacco Un significativo indice del livello di popolarità ormai raggiunto - nei vari paesi, presso gli ambienti cybercriminali - dai Trojan bancari per piattaforme mobile, è di sicuro rappresentato dal rapporto effettivamente esistente tra il numero di utenti sottoposti ad attacco da parte degli stessi banker mobile - almeno una volta nel corso del trimestre preso in esame - ed il numero complessivo di utenti, in ogni singolo paese, che, nel 3 trimestre del 2015, hanno visto entrare in azione, perlomeno una volta, il nostro modulo antivirus dedicato ai dispositivi mobili. Tale rating si distingue, quindi, dal precedente, riportato qui sopra: Paese* % di utenti attaccati dai Trojan-Banker, sul numero totale di utenti sottoposti ad attacco** 1 Australia 24,31 2 Austria 7,02 3 Montenegro 5,92 4 Repubblica di Corea 5,69 5 Francia 5,66 6 Cipro 5,56 7 Russia 5,09 8 Repubblica Ceca 4,98 9 Svezia 4,81 10 Finlandia 4,56 * Nell effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab per dispositivi mobili risulta ancora relativamente contenuto (meno di utenti). ** Quote percentuali, registrate nei vari paesi, relativamente al numero di utenti unici sottoposti ad attacco da parte di Trojan bancari per piattaforme mobile, rispetto al numero complessivo di utenti unici - in ogni singolo paese - sottoposti ad attacco da parte di malware mobile.

18 In Australia, il paese che è andato ad occupare la prima posizione della speciale TOP-10 qui sopra inserita, quasi un quarto del numero complessivo di utenti sottoposti ad attacco da parte di programmi malware destinati alle piattaforme mobile, ha subito l assalto di Trojan bancari appositamente sviluppati per colpire smartphone e tablet. Per ciò che riguarda la Russia, osserviamo come la quota ascrivibile agli attacchi condotti mediante l utilizzo di banker mobile - rispetto al volume totale degli attacchi informatici eseguiti tramite il dispiegamento di programmi malware destinati ai dispositivi mobili - si sia in pratica dimezzata, passando dal 10,35% fatto registrare nel trimestre precedente all attuale 5,09%. Questo è avvenuto a seguito della sensibile diminuzione del livello di attività manifestato dalla famiglia di trojan bancari denominata Trojan-Banker.AndroidOS.Marcher, che, in precedenza, risultava essere una delle più diffuse sul territorio della Federazione Russa. Nel corso del trimestre oggetto del presente report, è stato in pratica registrato, relativamente alla famiglia di Trojan-Banker qui sopra citata, un numero di attacchi inferiore di ben dieci volte rispetto all analoga quantità di assalti informatici nei confronti di dispositivi mobili rilevata nel secondo trimestre del 2015 riguardo a tale famiglia di malware mobile. Le applicazioni vulnerabili maggiormente sfruttate dai malintenzionati La speciale graduatoria delle applicazioni vulnerabili, qui di seguito riportata, è stata elaborata sulla base dei dati statistici da noi raccolti in merito alle operazioni di rilevamento e neutralizzazione degli exploit da parte dei prodotti Kaspersky Lab; il grafico tiene in debita considerazione sia gli exploit utilizzati dai malintenzionati per la conduzione degli attacchi informatici via Web, sia gli exploit impiegati dai malfattori per compromettere le applicazioni custodite localmente sui computer o sui dispositivi mobili degli utenti. Ripartizione degli exploit - utilizzati dai cybercriminali per la conduzione di attacchi informatici - in base alle varie tipologie di applicazioni sottoposte ad attacco Situazione relativa al terzo trimestre del 2015

19 Rispetto all analogo rating del secondo trimestre 2015, osserviamo i seguenti cambiamenti: 1) Aumento di 2 punti percentuali della quota relativa agli exploit destinati a colpire Adobe Flash Player. 2) Diminuzione di ben 5 punti percentuali dell indice relativo agli exploit appositamente confezionati per attaccare Adobe Reader. Nel corso del trimestre qui preso in esame, così come lungo tutto l arco dell anno, i cybercriminali hanno fatto ampio uso degli exploit per Adobe Flash Player. La loro quota si è complessivamente attestata su un valore pari al 5%, ma in-the-wild il loro numero risulta decisamente superiore; in sostanza, al momento attuale, quasi tutti gli exploit pack sfruttano vulnerabilità individuate in tale software. Così come nel trimestre precedente, ha continuato a diminuire l indice percentuale relativo agli exploit destinati alla piattaforma Java (9%). Non abbiamo in effetti rilevato l inserimento di nuovi, ulteriori exploit Java nella composizione dei kit di expoit attualmente presenti sulla scena del malware. Nel terzo trimestre dell anno in corso, gli exploit pack più noti sono risultati provvisti degli exploit appositamente creati per attaccare le seguenti vulnerabilità: 1) CVE (Adobe Flash; tale exploit è stato dettagliatamente descritto in un articolo pubblicato da Kaspersky Lab). 2) CVE (Internet Explorer) 3) CVE (Silverlight) Nel trimestre precedente era stato da noi osservato un significativo incremento dei flussi correlati alle campagne di spam allestite allo scopo di recapitare documenti PDF dannosi nelle caselle di posta elettronica degli utenti. Nel terzo trimestre, il numero di simili mailing di massa è sensibilmente diminuito; di conseguenza, la quota ascrivibile agli exploit destinati all applicazione Adobe Reader ha evidenziato una pronunciata flessione. Complessivamente, nel trimestre oggetto del presente report, si è mantenuta la specifica tendenza, da noi peraltro osservata lungo tutto l arco del 2015, che vede i malintenzionati ricorrere principalmente all utilizzo di exploit per Adobe Flash Player ed Internet Explorer. Nell ambito del grafico da noi elaborato, quest ultimo rientra nella categoria Browsers, della quale fanno ugualmente parte i rilevamenti che riguardano le landing pages adibite alla distribuzione degli exploit. Programmi malware in Internet (attacchi tramite siti web) I dati statistici esaminati in questo capitolo del nostro consueto report trimestrale sull evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall'anti-virus Web, modulo di sicurezza preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di oggetti nocivi da pagine web nocive/infette. I siti Internet dannosi vengono appositamente allestiti dai cybercriminali; possono tuttavia risultare infetti sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), sia i siti legittimi violati.

20 Le minacce online rivolte al settore finanziario I dati statistici qui sotto indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Essi sono stati da noi ricevuti tramite gli utenti che hanno previamente fornito l assenso per effettuare la trasmissione di dati statistici ai nostri analisti. Complessivamente, nel terzo trimestre del 2015, le soluzioni di sicurezza IT sviluppate da Kaspersky Lab hanno respinto tentativi di infezione informatica, da parte di programmi malware appositamente elaborati dai virus writer per colpire la sfera bancaria - e carpire quindi le risorse finanziarie degli utentivittima mediante l accesso non autorizzato agli account bancari posseduti da questi ultimi - sui computer di ben utenti della rete globale di sicurezza Kaspersky Security Network. Rispetto all analogo valore rilevato nel trimestre precedente ( ), tale indice ha fatto registrare un decremento pari a 17,2 punti percentuali. Ricordiamo a tal proposito che, un anno fa, nel terzo trimestre del 2014, erano stati registrati tentativi di attacco tramite malware bancario su computer degli utenti. In totale, nel corso del trimestre qui preso in esame, le soluzioni di sicurezza IT elaborate da Kaspersky Lab ed implementate nei computer degli utenti iscritti al programma di protezione globale KSN, hanno fatto registrare notifiche relative a tentativi di infezione condotti da parte di programmi malware preposti al furto delle risorse finanziarie degli utenti attraverso l'accesso online (illecito!) ai relativi conti bancari presi di mira. Numero di attacchi condotti mensilmente nei confronti degli utenti mediante l utilizzo di malware finanziari - Situazione relativa al terzo trimestre del 2015

21 Geografia degli attacchi Al fine di valutare e comparare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche generate dai Trojan bancari - rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo - abbiamo stimato, per ogni paese, la quota percentuale relativa agli utenti dei prodotti Kaspersky Lab che, nel periodo oggetto del report, si sono imbattuti in tale genere di minaccia IT, rispetto al numero complessivo degli utenti dei nostri prodotti che si registra nel paese. Geografia degli attacchi informatici condotti dai cybercriminali nel corso del terzo trimestre del 2015 mediante l utilizzo di malware bancario (percentuale di utenti sottoposti ad attacco) TOP-10 relativa ai paesi in cui si è registrata la quota percentuale più elevata di utenti sottoposti ad attacco informatico da parte di malware bancari % di utenti sottoposti ad Paese* attacco** 1 Austria 4,98 2 Singapore 4,23 3 Turchia 3,04 4 Namibia 2,91 5 Nuova Zelanda 2,86 6 Hong Kong 2,81 7 Australia 2,78 8 Libano 2,60 9 Emirati Arabi Uniti 2,54 10 Svizzera 2,46

22 * Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di utenti). ** Quote percentuali relative al numero di utenti unici Kaspersky Lab sottoposti ad attacchi da parte di malware finanziari, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese. Come evidenzia la tabella qui sopra riportata, nel terzo trimestre del 2015 la leadership della speciale TOP-10 basata sulle quote percentuali di utenti Kaspersky Lab sottoposti ad attacco da parte dei Trojan bancari nei vari paesi è andata ad appannaggio dell Austria. Il leader della graduatoria relativa al trimestre precedente (Singapore) è in tal modo sceso al secondo posto del ranking da noi stilato. Rileviamo come la maggior parte dei paesi presenti nella speciale TOP-10 si caratterizzi per il numero piuttosto elevato di utenti che si avvalgono dei sistemi di banking online; questo, ovviamente, attira in particolar modo le losche attenzioni dei cybercriminali. In Russia, nel corso del trimestre qui analizzato, si è imbattuto in qualche temibile Trojan-Banker, perlomeno una volta, lo 0,71% degli utenti; tale indice non si discosta molto dall analoga quota fatta registrare dalla Federazione Russa nel trimestre precedente (0,75%). Negli Stati Uniti (0,59%), nell arco di tre mesi, l indice in questione è diminuito di 0,3 punti percentuali. Un lieve decremento della quota di utenti sottoposti ad attacco da parte di Trojan bancari è stato ugualmente osservato in vari paesi dell Europa Occidentale: in Spagna (1,95%) tale diminuzione è risultata pari a 0,07 punti percentuali, in Gran Bretagna (1,24%) pari allo 0,34%, in Italia (1,16%) allo 0,41%, in Germania (1,03%) allo 0,13%. TOP-10 inerente alle famiglie di malware bancario maggiormente diffuse La speciale TOP-10 relativa alle famiglie a cui appartengono i programmi malware maggiormente utilizzati, nel corso del terzo trimestre del 2015, nell ambito degli attacchi informatici eseguiti dai malintenzionati nei confronti degli utenti dei sistemi di online banking, si presenta nella maniera seguente: Denominazione* Quota percentuale di attacchi** 1 Trojan-Downloader.Win32.Upatre 63,13 2 Trojan-Spy.Win32.Zbot 17,86 3 Trojan-Banker.JS.Agent 1,70 4 Trojan-Banker.Win32.ChePro 1,97 5 Backdoor.Win32.Caphaw 1,14 6 Trojan-Banker.Win32.Banbra 1,93 7 Trojan-Banker.AndroidOS.Faketoken 0,90 8 Trojan-Banker.AndroidOS.Agent 0,57 9 Trojan-Banker.Win32.Tinba 1,93 10 Trojan-Banker.AndroidOS.Marcher 0,55 * Rilevamenti eseguiti dai prodotti Kaspersky Lab. Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. ** Quota percentuale calcolata sul totale complessivo degli attacchi eseguiti mediante l utilizzo di malware finanziari e rilevati sui computer di utenti unici.

23 È di particolare rilevanza sottolineare come la stragrande maggioranza delle famiglie di malware presenti nella composizione della speciale TOP-10 da noi elaborata, si avvalga della classica tecnica denominata web injection, comunemente utilizzata dai Trojan bancari per iniettare codice HTML arbitrario all'interno della pagina web visualizzata dall'utente tramite il proprio browser; al tempo stesso, i suddetti malware fanno largo uso di sofisticati processi di intercettazione dei dati sensibili relativi alle transazioni finanziarie eseguite in Rete dagli utenti, dati inseriti da questi ultimi nei form appositamente contraffatti, i quali vanno poi a rimpiazzare i moduli originali. La leadership del rating, così come in precedenza, è detenuta dal malware denominato Trojan- Downloader.Win32.Upatre. I software dannosi riconducibili a tale specifica famiglia di programmi nocivi risultano essere tutt altro che complessi e presentano, per di più, dimensioni decisamente esigue (non oltre i 3,5 Kb); le funzionalità di cui sono provvisti si limitano, in genere, al caricamento del payload sul computer-vittima: si tratta, di solito, di insidiosi Trojan bancari appartenenti alla famiglia di malware attualmente nota con tre diversi appellativi - Dyre/Dyzap/Dyreza. Un rappresentante di tale famiglia è stato per la prima volta rilevato nel mese di giugno 2014; il compito principale al quale risultano adibiti i suddetti Trojan-Banker è rappresentato dal furto dei dati sensibili relativi alle operazioni di pagamento condotte online dagli utenti. Per far ciò, Dyre provvede ad intercettare i dati della sessione bancaria in corso tra il browser della vittima e l applicazione web di online banking. Nel corso dell estate 2015, il malware Trojan-Downloader.Win32.Upatre è stato tuttavia individuato anche su router domestici compromessi; questo testimonia, in maniera inequivocabile, l utilizzo polivalente di tale programma Trojan da parte dei malintenzionati. Al secondo posto della graduatoria troviamo poi un vero e proprio habitué del rating qui esaminato: si tratta del famigerato malware Trojan-Spy.Win32.Zbot. La sua presenza permanente ai vertici di tale classifica non è certo casuale. I Trojan della famiglia Zbot sono stati tra i primi ad utilizzare il metodo della web injection per cercare di carpire i dati relativi alle operazioni di pagamento svolte nell ambito dei sistemi di banking online, e cercare di modificare il contenuto delle pagine web inerenti alla sfera bancaria. Essi utilizzano vari livelli di cifratura dei propri file di configurazione; allo stesso tempo, il file di configurazione, una volta decodificato, non viene custodito interamente in memoria, ma viene caricato in porzioni separate. Questo conferisce un evidente vantaggio tecnologico ai programmi trojan della famiglia Trojan-Spy.Win32.Zbot nei confronti dei malware loro diretti concorrenti. Nel trimestre qui analizzato, sul terzo gradino del podio virtuale troviamo la famiglia Trojan- Banker.JS.Agent; si tratta di codici JS maligni, che rappresentano il risultato della procedura di iniezione di codice dannoso nella pagina web adibita al banking online. Il compito di simili codici è costituito dall intercettazione dei dati di pagamento introdotti dall utente negli appositi form presenti sulle pagine Internet riservate alle operazioni di banking online. Rileviamo inoltre la presenza, all interno della TOP-10 qui sopra riportata, di tre famiglie di Trojan bancari destinati alle piattaforme mobile: Trojan-Banker.AndroidOS.Faketoken, Trojan- Banker.AndroidOS.Marcher (abbiamo riferito riguardo ad essi nell analogo report relativo allo scorso trimestre) e la new entry del rating, ovvero Trojan-Banker.AndroidOS.Agent. I programmi riconducibili a tale famiglia realizzano il furto dei dati di pagamento sui dispositivi mobili provvisti di sistema operativo Android.