Dai dieci anni dal primo malware per smartphone fino a oggi

Il 15 giugno 2004, precisamente alle 19:17 orario di Mosca, è accaduto qualcosa che ha segnato una nuova era per la sicurezza informatica. Abbiamo scoperto il primo malware per smartphone. Si trattava di Cabir, infettava i dispositivi Nokia con sistema operativo Symbian e si diffondeva attraverso le connessioni Bluetooth non sicure. Con questa scoperta, il mondo ha appreso dell’esistenza di malware non solo per computer (di cui tutti, tranne forse dei monaci su un eremo, ormai ne erano ben a conoscenza) ma anche per smartphone. All’inizio molti erano un po’ scettici (Dei virus che infettano il telefono? Ma per piacere!), ma alla fine la verità è venuta a galla e chi prima (nel giro di mesi), chi dopo (sono passati decenni) hanno dovuto accettare la dura realtà (anche se probabilmente c’è ancora gente in giro che non lo sa). In ogni caso, i nostri analisti con questa scoperta hanno fatto la storia!

Perché abbiamo battezzato il malware Cabir? Perché esisteva una speciale stanza protetta nel nostro quartier generale di Mosca? E perché Cabir è andato a finire in tasca di un dipendente di F-Secure? Abbiamo posto queste e altre domande ad Aleks Gostev, il nostro Chief Security Expert, durante un’intervista per la nostra Intranet, che oggi vogliamo condividere con voi.

La storia inizia subito con questi due dispositivi che utilizzavamo per analizzare il malware:

The legendary Symbian-powered Nokia phones we used to analyze Cabir

Portate pazienza, vi spiegheremo tutto…

– Il virus Cabir è apparso per la prima volta dieci anni fa. Ai tempi com’era la situazione dei malware per dispositivi mobili?

Dieci anni fa, i malware per dispositivi mobili praticamente non esistevano. Mi ricordo che agli inizi del 2004, durante una conferenza stampa internazionale, uno dei giornalisti mi chiese quando sarebbe comparso il primo virus per telefoni cellulari. Io risposi che per la conferenza stampa dell’anno successivo sicuramente ci sarebbero già stati. Beh, da lì a pochi mesi, iniziammo a sentirne parlare…

A un analista del turno di notte venne inviato un file insolito, che operava su una piattaforma sconosciuta. Così chiese aiuto al suo collega, Roman Kuzmenko, per analizzare l’oggetto sospetto. Roman è la persona ideale a cui chiedere, è un analista eccellente e nessuno è capace come lui di risolvere enigmi particolarmente complicati. Come c’era da aspettarsi, in un paio d’ore riuscì a scoprire che si trattava di un virus che colpiva il sistema operativo Symbian funzionante su un processore ARM. Questa accoppiata esisteva solo sui telefoni cellulari, nello specifico sui dispositivi Nokia.

A quel tempo, i nostri esperti non potevano comprendere immediatamente cosa facesse questo virus, perciò fu indispensabile effettuare dei test. Ma prima di tutto era necessario avere a disposizione uno smartphone Nokia, e non era così facile! Questi telefoni erano molto avanzati per l’epoca e di conseguenza non così comuni come oggi. 🙂 Nel frattempo, il nostro laboratorio anti-malware continuava ad analizzare il virus, scoprendo una novità assoluta! Ci si rese conto che una delle caratteristiche principali del virus era la sua capacità di prendere il controllo del protocollo Bluetooth e, attraverso di esso, trasferirvi file. Era uno metodo estremamente efficace per diffondere il virus.

– Ritornando al fatto che non avevate telefoni Nokia, vuoi dire che allora non avevate tutte le attrezzature necessarie per effettuare i test sui dispositivi mobili?

Sì, era così in effetti. Non avevamo una selezione di tutti gli smartphone sul mercato per i test solo per il fatto che non avevamo avuto questa idea. Del resto, i virus per cellulari non esistevano ancora.

I nostri analisti riuscirono ad analizzare il primo virus che colpiva i telefoni cellulari (successivamente battezzato Cabir), rendendo evidente la realtà che i virus writer avevano già iniziato a creare codici dannosi anche per smartphone, e lo fecero a una grande velocità. Questi nuovi virus si diffusero così rapidamente che alla fine dello stesso anno fu necessario creare un dipartimento che si occupava di analizzare esclusivamente i virus per dispositivi mobili, soprattutto in seguito al fatto che esistevano sostanziali differenze rispetto ai virus per computer.

Cosicché fondammo questo nuovo dipartimento e la sua direzione fu affidata a me. Successivamente mi raggiunse un altro analista, Denis Maslennikov e una delle nostre prime decisioni fu quella di acquistare tutti i dispositivi mobili presenti sul mercato che avrebbero potuto subire, anche solo in teoria, un attacco malware. Era piuttosto divertente: in fondo a chi non piace comprare cose nuove senza preoccuparsi di pagare? Ci procurammo tutti i modelli sul mercato che supportavano Symbian, più tutti i dispositivi che si basavano su Windows, Blackberry e così via. Ancora oggi, continuiamo ad aggiungere nuovi modelli alla nostra collezione, nel caso dovesse comparire una nuova minaccia e ci fosse bisogno di effettuare nuovi test.

– Perché lo avete chiamato Cabir? Le immagini su Securelist ci mostrano che il file ha un nome diverso.

Questa è tutta un’altra storia! Le immagini mostrano il nome che l’autore aveva dato al virus, ovvero Caribe. Invece, è tradizione nell’industria antivirus ribattezzare i malware in maniera diversa dal nome dato dal suo creatore, innanzitutto per non far montare la testa al virus writer e, di contro, per avere il merito di aver sconfitto un nuovo virus!

Mentre stavamo pensando al nome, la nostra collega Elena Kabirova entrò nella stanza. Data la coincidenza assurda del suo cognome molto simile al nome del virus, le chiedemmo se le avrebbe fatto piacere che utilizzassimo parte del suo cognome per ribattezzare il primo virus per telefoni cellulare. Beh, il resto è storia. 🙂

– Come siete riusciti a smascherare il virus senza avere uno dei telefoni colpiti?

Come accade spesso per i virus, ricevemmo un’email contenente solo un allegato, ovvero il file del virus. Questo messaggio era stato inviato all’indirizzo creato appositamente per questo scopo, ovvero newvirus@kaspersky.com. Sapevamo chi fosse il mittente, era presente sul nostro database… non era esattamente un virus writer, ma qualcuno “associabile” a loro. Ogni tanto ci inviava nuovi campioni di malware creati da virus writer europei.  Normalmente, valeva sempre la pena analizzare qualsiasi cosa ci inviasse, perché si trattava di campioni unici e di una certa rilevanza. Appena visto il nuovo esemplare inviato, capimmo subito la sua importanza e i nostri sospetti furono confermati dalle stringhe contenute del codice del malware (inclusa una menzione al 29A).

A quei tempi, non sapevamo che il mittente dell’e-mail aveva inviato il virus ad altre aziende di prodotti antivirus. Ma non aveva importanza perché siamo stati gli unici a scoprire di cosa si trattasse.

– E dopo cosa è successo?

Dopo le prime analisi sul virus, fu subito chiaro che avevamo bisogno non di uno, ma di due smartphone con sistema operativo Symbian, poiché il virus si trasmetteva da un telefono all’altro via Bluetooth. Così copiammo il virus sul primo telefono, attivammo il Bluetooth sul secondo dispositivo in modalità Visibile e in un istante era arrivata la richiesta di accettare il file sul secondo telefono. Dopo aver ricevuto e aperto il file, il secondo telefono iniziò a cercare tutti i dispositivi nelle vicinanze con il Bluetooth attivato. Questa fu la conferma che il virus si propagava via Bluetooth. Successivamente, organizzammo una conferenza stampa per annunciare la scoperta del primo virus indirizzato a telefoni cellulari. Ed era solo l’inizio…

La funzionalità del virus e le successive modifiche crearono alcuni problemi nel nostro ufficio. Si trattava di un ambiente di lavoro normale, non isolato, con dipendenti che avrebbero potuto benissimo accettare questo file dannoso sui propri Nokia. Ci rendemmo conto che avremmo potuto mettere a rischio i dispositivi dei nostri colleghi! Ciò ci costrinse a organizzare una stanza speciale con le pareti rivestite di ferro dove poter sperimentare con il malware mobile in tutta sicurezza.

Dentro questa stanza non c’era campo, e tutte le comunicazioni erano interrotte: tutto ciò per evitare la diffusione dei virus oltre le pareti di quell’ambiente isolato. Questa stanza non solo diventò uno strumento di lavoro assolutamente indispensabile, ma anche un oggetto d’interesse per i media, che volevano entrarci per dare un’occhiata. Al giorno d’oggi, lo scenario dei malware mobile è cambiato notevolmente, e i virus “old school” come Cabir non esistono più; quindi non c’è più bisogno di una stanza di questo tipo, per la delusione dei media. 🙂

– Hai detto prima che il malware era stato creato da un gruppo di virus writer. Ci puoi dire qualcosa di più in proposito?

Si tratta del gruppo di virus writer più leggendario in assoluto. Hanno creato dei virus unici e particolarmente avanzati. Il gruppo era formato da virus writer provenienti da tutto il mondo, e i membri che ne facevano parte cambiavano costantemente, anche se comunque c’era un gruppetto fisso proveniente da Spagna e Brasile. Uno di loro, se la memoria non m’inganna si chiamava Vallez, ha creato Cabir. Il gruppo 29 A non era formato da cybercriminali nella definizione odierna, ma da virus writer che creavano dei malware per testare e dimostrare la sicurezza delle tecnologie virus. Alla base c’era più una motivazione ideologica che economica. Sono stati pionieri in molti aspetto: sono stati i primi a creare un macro virus e un virus per la piattaforma Windows 64. Ogni creazione del 29 A era innovativa, che poi utilizzavano anche altri virus writer e poi i cybercriminali. Tra l’altro dobbiamo ricordare che ai tempi (parliamo del 2004) il cybercrimine era alle prime armi. Ai tempi, la maggior parte dei programmi virus era creata per scherzo, per divertimento o per esprimere la propria “personalità”.

Il gruppo è rimasto in piedi fino al 2009, anche se meno attivo di una tempo. Alcuni membri sono stati arrestati in Spagna, Brasile e Repubblica Ceca, mentre altri proseguono la loro attività di scrittura di malware. Lo sappiamo perché riusciamo a determinare certe caratteristiche nelle stringhe di codice che rappresentano una sorta di firma o impronta digitale del virus writer.

– Hai detto che ci sono state modifiche successive del virus. Come si è sviluppato Cabir?

Il gruppo di cybercriminali che ha creato Cabir è conosciuto non solo per la sua sofisticatezza, ma anche per aver creato il proprio magazine online. Alcuni mesi dopo la prima apparizione di Cabir, il gruppo pubblicò alcune informazioni su questo worm, assieme ad alcune parte del codice eseguibile; in conseguenza a tale scelta, qualche tempo dopo furono individuate alcune versioni modificate di Cabir  praticamente ogni settimana. Un virus writer che puntava alla fama ci inviò costantemente diverse modifiche del virus chiedendoci di dargli un nuovo nome! Tornò più e più volte per ben un anno, cercando in tutti i modi di avere il suo momento di gloria. Alla fine ottenne ciò che voleva: classificammo una delle sue versioni modificate come una famiglia separata. Dovevamo farlo.

– Perché viene spesso associata l’azienda F-Secure al virus Cabir?

Cabir portò a termine un attacco, seppure di minore entità ma che risultò piuttosto curioso e soprattutto ben pubblicizzato. Nel 2005 in Finlandia stava avendo luogo un importante campionato di atletica. C’era ovviamente uno stadio pieno di gente che proveniva da tutto il mondo. Cabir non poteva fare molti danni, perché il raggio d’azione del Bluetooth è di soli 20 metri. In ogni caso, si trattava comunque di uno stadio. E i la cosa peggiore è che la marca Nokia è finlandese e quindi si tratta di telefoni estremamente popolari in questo paese! Manco a dirlo, Cabir riuscì a entrare nello stadio, attraverso il cellulare in tasca di uno tra le decine di migliaia di spettatori.

Così, mentre gli atleti si sfidavano sulle piste di atletica, lo stesso Cabir stava facendo la sua prova di velocità… sugli spalti. Lo so, non potete crederci! Alla fine Cabir fu inviato via Bluetooth al cellulare di un dipendente di F-Secure presente nello stadio (la domanda sorge spontanea: perché ha accettato un file sconosciuto via Bluetooth?). Qualche giorno dopo, la compagnia antivirus finlandese si offrì d’installare nello stadio uno scanner per Bluetooth che consentiva agli spettatori di verificare se il proprio telefono risultasse infetto oppure no. Fu questa la connessione (seppur labile) tra Cabir ed F-Secure.

– Cosa faceva questo virus, oltre a diffondersi via Bluetooth?

Dal punto di vista economico non ha causato alcuna perdita diretta. Il malware faceva consumare la batteria del telefono in breve tempo (due o tre ore) in quanto ricercava costantemente connessioni Bluetooth.  I successivi malware mobile hanno sì creato più danni, in quanto inviavano MMS a numeri Premium. Ad esempio, Comwario, un virus post-Cabir molto conosciuto, ha causato una vera e propria epidemia in una città della Spagna provocando perdite per milioni e milioni di euro.

–  In questa intervista abbiamo parlato di una minaccia malware in particolare, sul modo in cui si diffondeva e il gruppo che l’ha creata. Ma non abbiamo ancora parlato di come veniva affrontato il problema di proteggere le piattaforme mobile. Possibile che non c’era niente che si potesse fare?

Beh, le cose non andavano poi tanto male: prima della scoperta dei virus Cabir per il sistema operativo  Palm (dei palmari per intenderci), molte aziende antivirus avevano già sviluppato una forma di protezione per questa piattaforma. Ma via via l’entusiasmo andava scemando, non comparivano nuovi virus e non ci si preoccupava più dei virus diretti al sistema operativo Palm e a eventuali forme di protezione (inoltre, i palmari non erano smartphone, e non erano così popolari rispetto ai telefoni cellulari). Con la scoperta di Cabir, abbiamo raccolto tutte le nostre conoscenze a disposizione,le abbiamo adattate e modificate, e in breve tempo abbiamo proposto un antivirus per le piattaforme mobili. Da allora, sono apparsi sulla scena sempre più nuovi virus che attaccavano dispositivi mobili. Di conseguenza, abbiamo dovuto modificare e aggiornare costantemente anche i nostri relativi prodotti antivirus. Direi che qualcosa l’abbiamo fatta!

 

Cabir: the world's first malware for smartphones (infographic)

 

 

LEGGI I COMMENTI 0
Scrivi un commento
  • RT @kaspersky: Yara is an essential tool for every malware researcher. Here's 3 reasons why you need to master it - and now you can from yo…
    19 ore fa