Cosa sono gli spyware?

Gli spyware sono software che infettano segretamente un computer o un telefono per monitorare e registrare l'attività del proprietario, fornendo poi tali informazioni a terzi. Fra i dati tracciati ci sono ad esempio i siti Web visitati, i file scaricati, la posizione (se installati su smartphone), le e-mail, i contatti, le informazioni di pagamento o perfino le password degli account.

Lo spyware è subdolo e bravissimo a nascondersi. Solitamente, lo fa attaccandosi a un sistema operativo, per essere poi eseguito in background come programma residente in memoria. A volte, si camuffa perfino da file, uno di quelli innocenti e vitali per un SO.

Lo spyware può perfino arrivare insieme a programmi apparentemente legittimi, che una volta osservati con attenzione, si rivela essere citato tra i termini e condizioni. Comunque, è più probabile riceverlo allegato a un download poco legale o attraverso un attacco phishing.

Secondo la rivista tedesca Der Spiegel, le agenzie governative sarebbero perfino in grado di inviare spyware attraverso iTunes. Un software simile, come ad esempio FinFisher, se installato potrebbe permettere loro di sbirciare su Facebook e Skype, oltre a leggere le e-mail degli utenti. E se un governo può farlo, ci saranno sicuramente criminali in tutto il mondo che stanno cercando di mettere le mani su questa funzionalità.

Lo spyware può essere installato ovunque: un PC o laptop, un tablet, un iPhone o uno smartphone Android. L'obiettivo originario dei creatori di spyware erano i computer, ma ora questi programmi stanno sfruttando la vulnerabilità di tutti i tipi di dispositivi.

 

Tipi di spyware

Diversi tipi di spyware hanno come obiettivo il monitoraggio di differenti tipi di informazioni. Ad esempio, alcuni sono relativamente innocenti e cercano semplicemente di tracciare il percorso di navigazione dell'utente, per inviare i dati agli inserzionisti. Alcuni, registrano contatti e posizione geografica. Altri hanno invece un intento chiaramente criminale, poiché cercano di rubare le credenziali e le password di rete.

Ma lo spyware, come funziona? Vediamo i principali gruppi di spyware, per capire cosa fanno e come:

I keylogger cercano di catturare le attività del computer registrando gli input sulla tastiera. Le informazioni rubate possono includere i siti Web visitati, le credenziali e le password di sistema, la cronologia delle ricerche su Internet e le varie password.

I password stealer sono programmati per rubare password da qualsiasi dispositivo o computer infettato. Tali password possono includere quelle registrate su Web, login di sistema o credenziali di rete, ma possono anche rubare cookie, per poter in seguito utilizzare siti con l'ID dell'utente.

I banking trojan modificano le pagine Web per sfruttare falle di sicurezza nei browser. Potrebbero ricreare i siti Web bancari per indurre gli utenti a eseguirvi transazioni, oppure registrare gli input sulla tastiera e sottrarre credenziali. Sono in grado di modificare transazioni (ad esempio, inviando denaro sul conto degli hacker invece che sul conto desiderato) o di trasmettere le informazioni raccolte a un altro server.

Gli info stealer possono scansionare le informazioni di un PC, come nomi utente e password, numeri delle carte di credito, e indirizzi e-mail. Potrebbero inoltre sottrarre tutti i contatti e-mail dell'utente per inviar loro e-mail di phishing.

I mobile spyware sono in grado di tracciare la posizione geografica dell'utente, il registro delle chiamate, l'elenco dei contatti e perfino le foto scattate con la fotocamera del telefono.

Gli spyware in grado di effettuare registrazioni audio e video possono sfruttare il dispositivo della vittima per registrarne le conversazioni e inviarle a un terzo. Alcune app richiedono accesso alla fotocamera e al microfono di laptop o smartphone; tale permesso potrebbe essere usato in qualsiasi momento, sottraendo foto e audio senza informare l'utente e creando uno streaming in diretta Internet della fotocamera, oltre a eseguire software di riconoscimento facciale sul volto dell'utente.

I cookie tracker possono riferire i dati dell'utente agli inserzionisti. Questo potrebbe sembrare meno grave, ma come si può sapere esattamente cosa il software stia riferendo?

Alcuni banking spyware cooperano addirittura con malware simili per scaricare un doppio virus. Ad esempio, Emotet "rilasciava" Dridex. Anche nel caso in cui il proprietario del PC avesse eliminato Emotet, l'altro spyware avrebbe potuto continuare ad agire. I vari tipi di spyware appaiono sempre più spesso in coppia, così da porre non una minaccia singola, ma bensì una minaccia multipla e complessa.

Come si viene infettati dagli spyware

Come fanno gli spyware a raggiungere un computer o uno smartphone? Possono intraprendere diverse strade.

Innanzitutto, potrebbero venire deliberatamente installati da qualcuno che voglia controllarvi. Questo è uno dei motivi per cui bisognerebbe sempre utilizzare la funzionalità di blocco dello schermo di un telefono: mai lasciare un dispositivo incustodito e vulnerabile a una simile interferenza.

Più spesso, gli spyware si accompagnano a programmi o app che l'utente stesso installa sul proprio dispositivo. Ad esempio, gli spyware possono nascondersi in programmi camuffati da software utili, come gestori di download, pulitori di registro e così via. A volte, giungono insieme a videogiochi. Potrebbero perfino annidarsi in un bundle di software, assieme a programmi reali e utili. Sebbene sia Apple che Google facciano del loro meglio per impedire che gli spyware entrino nei loro sistemi operativi, alcuni pacchetti che includevano spyware sono riusciti a infiltrarsi nel Google Play Store; la prudenza non è mai troppa.

Gli spyware potrebbero diffondersi attraverso il phishing; e-mail con link che, se cliccati, scaricano il programma spia. Si può venire infettati anche attraverso un sito Web fasullo, che si presenta come appartenente a un'organizzazione nota, ma in realtà creato ad arte e contenente link che portano a scaricare spyware o a installarli sul browser.

Come capire se ho uno spyware?

Anche nel caso in cui non si riesca a individuare il programma spyware, è possibile rilevarne dei segnali. Ad esempio, se le prestazioni di un computer appaiono all'improvviso rallentate, potrebbe essere un indizio di compromissione. Ecco come capire se il pc è spiato:

Rallentamento crescente e lentezza nelle risposte.

Messaggi pubblicitari pop-up inattesi (lo spyware è spesso infarcito di adware).

Nuove toolbar, motori di ricerca e homepage che non vi ricordate di avere installato.

Batterie che si consumano più rapidamente del normale.

Difficoltà d'accesso a siti sicuri. (Se il primo tentativo d'accesso fallisce mentre il secondo ha successo, potrebbe significare che il primo tentativo è avvenuto su un browser falsificato e che la password è stata comunicata a terzi, anziché alla propria banca.)

Inspiegabile aumento nell'utilizzo dei dati o della rete. Tutti questi possono essere indizi che uno spyware sta cercando informazioni e caricando i dati di un utente presso terzi.

Gli antivirus e gli altri software di sicurezza sono impotenti.

Definizione di Trojan

Un cavallo di Troia o un trojan è un tipo di malware spesso mascherato da un software legittimo. Il vius trojan può essere impiegato da cyberladri e hacker che cercano di accedere ai sistemi degli utenti. Gli utenti vengono in genere ingannati da una qualche forma di social engineering nel caricamento e nell'esecuzione di trojan sui loro sistemi. Una volta attivato, il trojan può consentire ai cybercriminali di spiare l'utente, rubarne i dati sensibili e ottenere l'accesso backdoor al sistema.Per funzionare, un trojan deve essere eseguito dalla vittima. Il malware trojan può infettare i dispositivi in molti modi, ad esempio:

 

Un utente resta vittima di un attacco di phishing o di un altro attacco di social engineering aprendo un allegato e-mail infetto o facendo clic su un collegamento a un sito Web dannoso.

Un utente visualizza un pop-up di un presunto programma anti-virus che segnala che il computer è infetto e invita a eseguire un programma di pulizia. Questa tecnica è nota come "scareware". In realtà, l'utente sta scaricando un trojan nel suo dispositivo.

Un utente visita un sito Web dannoso e si trova di fronte a un download drive-by, che finge di essere un'utilità software.

Un utente scarica il programma di un autore sconosciuto da un sito Web non attendibile.

Gli autori di un attacco installano un trojan sfruttando la vulnerabilità di un software o tramite accesso non autorizzato.

Alcuni hacker creano una falsa rete hotspot Wi-Fi che presenta lo stesso aspetto di quella a cui un utente sta tentando di connettersi. Quando si connette alla rete contraffatta, l'utente può essere reindirizzato a un sito Web falso contenente degli exploit per browser che reindirizzano tutti i file che prova a scaricare.

Il termine "trojan dropper" viene talvolta utilizzato in relazione ai trojan. Dropper e downloader sono programmi di supporto per vari tipi di malware, inclusi i trojan. In genere vengono implementati come script o piccole applicazioni. Non svolgono attività dannose, ma aprono la strada agli attacchi scaricando, decomprimendo e installando i principali moduli dannosi.

Fonte: https://www.kaspersky.it/resource-center/threats/how-to-detect-spyware

Tipi di trojan

I trojan vengono classificati in base al tipo di operazione che riescono a svolgere nel computer. Tra gli esempi di virus trojan horse sono inclusi:

 

Backdoor Un trojan backdoor fornisce agli utenti malintenzionati il controllo remoto sul computer infetto. Consentono all'autore di eseguire nel computer infetto le operazioni che desidera, come inviare, ricevere, eseguire ed eliminare file, visualizzare dati e riavviare il computer. Spesso i trojan backdoor vengono utilizzati per unire un gruppo di computer vittime per formare una botnet o una rete zombie che può essere sfruttata a scopi criminali.

Exploit Gli exploit sono programmi che contengono dati o un codice che sfrutta una vulnerabilità presente in un software in esecuzione sul computer.

Trojan banker I programmi trojan banker sono progettati per rubare i dati degli account sui sistemi di banking online, di pagamento elettronico e delle carte di credito o di debito.

Trojan Clampi Noto anche come Ligats e Ilomo, Clampi attende che gli utenti eseguano l'accesso per effettuare una transazione finanziaria, come accedere all'online banking o inserire i dati della carta di credito per un acquisto online. Clampi è abbastanza sofisticato da nascondersi dietro i firewall e passare inosservato per lunghi periodi.

Trojan Cryxos Cryxos è comunemente associato ai cosiddetti scareware o alle false richieste di chiamare l'assistenza. In genere, le vittime visualizzano un pop-up con un messaggio del tipo "Il tuo dispositivo è stato violato" o "Il tuo computer è infetto". Viene inoltre fornito un numero di telefono da contattare per ricevere assistenza. Se l'utente chiama il numero, è costretto a pagare per l'assistenza. In alcuni casi, all'utente potrebbe essere richiesto di autorizzare l'"agente del servizio clienti" ad accedere in remoto al suo computer, aprendo la porta a una potenziale violazione del dispositivo e al furto dei dati.

Trojan DDoS Questi programmi sferrano attacchi DDoS (Distributed Denial of Service) contro un indirizzo Web ben preciso. Inviando numerose richieste da svariati computer infetti, l'attacco può sopraffare l'indirizzo preso di mira, generando un rifiuto del servizio.

Trojan downloader I trojan downloader possono scaricare e installare nuove versioni di programmi nocivi sul computer, compresi trojan e adware.

Trojan dropper Questi programmi vengono utilizzati dagli hacker per installare trojan o virus, oppure per impedire il rilevamento dei programmi dannosi. Non tutti i programmi antivirus sono in grado di analizzare tutti i componenti di questo tipo di trojan.

Trojan fakeAV I programmi trojan fakeAV simulano l'attività del software antivirus. Sono progettati per estorcere denaro agli utenti, in cambio del rilevamento e dell'eliminazione di presunte minacce che in realtà non esistono.

Trojan game thief Questo tipo di programma ruba informazioni sull'account utente dai giocatori online.

Trojan Geost Geost è un trojan di banking per Android Si nasconde in app dannose distribuite attraverso pagine Web non ufficiali con nomi host di server generati casualmente. Le vittime in genere riscontrano questi problemi quando cercano app che non sono disponibili su Google Play. Una volta scaricata, l'app richiede alcune autorizzazioni che, se abilitate, consentono l'infezione da malware. Geost è stato scoperto dopo che il gruppo che lo aveva creato ha commesso alcuni errori di sicurezza che hanno consentito ai ricercatori di vedere direttamente le loro operazioni e persino di identificare alcuni degli autori.

Trojan IM I programmi trojan IM rubano le credenziali di accesso e le password dei programmi di messaggistica immediata, come WhatsApp Facebook Messenger, Skype e molti altri. Questo tipo di trojan può consentire all'autore dell'attacco di controllare le sessioni di chat, inviando il trojan a chiunque sia presente nell'elenco dei contatti. Può anche eseguire attacchi DDoS utilizzando il computer dell'utente.

Trojan mailfinder Questi programmi possono raccogliere indirizzi e-mail dal tuo computer, consentendo ai cybercriminali di effettuare invii di massa di malware e spam ai tuoi contatti.

Trojan ransom Questo tipo di trojan può modificare i dati presenti nel computer per danneggiarne il funzionamento e impedire all'utente di utilizzare alcuni dati specifici. Il criminale ripristinerà le prestazioni del computer oppure sbloccherà i dati solo dopo che l'utente avrà pagato il riscatto richiesto.

RAT (Remote Access Trojan) I RAT consentono agli hacker di assumere il controllo completo del computer dell'utente da una posizione remota. Possono essere utilizzati per rubare informazioni o spiarti. Una volta compromesso il sistema host, l'intruso può utilizzarlo per distribuire altri RAT in altri computer vulnerabili al fine di creare una botnet.

Rootkit  I rootkit sono progettati per nascondere determinati oggetti o attività nel sistema. Spesso il loro obiettivo principale è quello di impedire il rilevamento dei programmi nocivi, per prolungarne il periodo di esecuzione su un computer infetto.

Trojan SMS Questi programmi possono causare costi elevati, perché inviano messaggi di testo dal dispositivo mobile a numeri telefonici a pagamento.

Trojan spy I programmi trojan spy possono spiare l'uso del computer da parte dell'utente, ad esempio tenendo traccia dei dati immessi con la tastiera, catturando schermate o procurandosi un elenco delle applicazioni in esecuzione.

Trojan Qakbot Qakbot è un avanzato trojan bancario. Ritenuto il primo malware progettato specificatamente per raccogliere informazioni bancarie, viene spesso utilizzato insieme ad altri strumenti ben noti.

Trojan Wacatac Il trojan Wacatac è una minaccia trojan altamente dannosa che può eseguire varie azioni dannose nel sistema colpito. In genere, si infiltra tramite e-mail di phishing, condivisione di file su reti infette e patch di software. Ha lo scopo di rubare dati riservati e condividerli con gli hacker. Può anche consentire l'accesso remoto agli hacker per svolgere attività dannose.

Tra gli esempi di questi tipi di trojan sono inclusi:

Trojan ArcBomb

Trojan clicker

Trojan notifier

Trojan proxy

Trojan PSW 

Fonte https://www.kaspersky.it/resource-center/threats/trojans

In cosa consiste l'analisi forense per la ricerca di app spia?

Attraverso l'ausilio di particolari software, utilizzati per eseguire estrazioni forensi, siamo in grado di rilevare la presenza di app installate sui dispositivi da analizzare.

Dopo una prima fase di estrazione (è una sorta di clonazione), si esegue l'analisi vera e propria, andando ad evidenziare, in particolare:

- accessi a reti non note;

- installazione di app sconosciute o con privilegi alti;

- verifica dello sblocco dei permessi di root o di amministratore;

- verifica presenza codice malevolo; 

- verifica orari e date connessioni, utilizzo risorse, attivazione periferiche, etc.

Al termine dell'analisi viene rilasciato su richiesta apposito report digitale o cartaceo firmato da un perito informatico forense (perizia).

Il costo dell'operazione di estrazione e di analisi specifica è di 500 euro a dispositivo, esclusa perizia.