Ramsomware e dispositivi mobili: KSAKAS e LeakerLocker


Sull’onda di WannaCry, chiamato anche WanaCrypt0r 2.0, il Ramsomware responsabile di un’epidemia su larga scala avvenuta nel maggio 2017, nascono nuovi malware destinati, questa volta, ai dispositivi mobili.
Wannacry ha avuto conseguenze disastrose, criptando una mole immensa di dati e richiedendo un riscatto molto cospicuo per la loro decriptazione. Il 12 maggio 2017 il malware ha infettato i sistemi informatici di numerose aziende e organizzazioni in tutto il mondo, tra cui: Portugal Telecom, Deutsche Bahn, Telefónica, Tuenti, Renault, il National Health Service, il Ministero dell’interno russo.
Al 28 maggio sono stati colpiti oltre 230000 computer in 150 paesi (Italia compresa), rendendolo uno dei maggiori contagi informatici mai avvenuti.

KSKAS, il ramsomware per android che contagia tramite il download automatico di un file apk

KSKAS, le cui prime apparizioni risalgono al giugno 2017, attacca i device Android attraverso un file “apk”, e facendosi passare come un “aggiornamento di sistema“.
La propagazione del virus avviene attraverso pubblicità malevola: una volta raggiunta la pagina contenente questa pubblicità, compare un popup che consiglia l’installazione di un tool di sistema per la pulizia dei file infetti chiamato “KS Clean”, il cui download avviene in maniera automatica.

Al termine del download (il file si chiama KSKAS.apk) parte il download di un secondo applicativo che richiede i diritti amministrativi del dispositivo. Se vengono concessi, la home del vostro dispositivo verrà bombardata di pubblicità, bloccandone l’utilizzo e rubando i vostri dati personali.
Sono risultati vani i tentativi di revocare i diritti amministrativi a tale applicazione che per “proteggersi” blocca momentaneamente il device.
L’infezione di KSKAS risulta molto diffusa soprattutto negli Stati Uniti e in Gran Bretagna e i file apk compromessi dal malware risultano essere più di 300.

LeakerLocker, ricerca i dati personali della vittima e minaccia la loro divulgazione

A luglio di quest’anno è stata segnalata la presenta di un nuovo e subdolo malware che, una volta installato, scansiona il dispositivo alla ricerca di dati personali, password, email, cronologia del browser, conversazioni via SMS e Messenger (chat di Facebook) minacciando poi il malcapitato di divulgare tutto se non viene pagato un riscatto di circa 50 dollari entro 72 ore.
Sempre di ramsomware si tratta ma, in questo caso, i dati non vengono criptati e, secondo i ricercatori della security house McAfee che hanno scoperto questo virus, non risulta dal codice che i dati vengano realmente trasferiti in un server remoto.
L’attacco avverrebbe attraverso il download di due applicazioni infette, fino a qualche giorno fa reperibili sul Play Store di Google, “Wallpapers Blur HD” (applicazione di sfondi) e “Booster & Cleaner Pro” (ottimizzatore).

Quali sono i risvolti dal punto di vista privacy?

Al di là che i dati vengano realmente copiati su server esterni e poi effettivamente eliminati una volta che venga pagato il riscatto (non possiamo averne garanzia in nessun modo), il semplice accesso ai dati da persone diverse dal titolare e dal responsabile del trattamento è da considerarsi data breach.
Dopo l’entrata in vigore del GDPR, questo tipo di violazione impone la comunicazione dell’incidente e l’obbligo di informare gli interessati. Nel caso in cui l’Autorità Garante stabilisca che le misure di sicurezza adottare dall’azienda non siano sufficienti, questa rischia sia sanzioni amministrative che danni reputazionali anche molto significativi.