Rimosso da Google Play malware per bitcoin mining

App popolari usavano i cellulari e tablet delle vittime per generare denaro digitale.

Di solito il crimine informatico infetta gli smartphone, usando app ostili, per rubare password e dati personali oppure per far inviare SMS a costo maggiorato destinati a società gestite dai criminali stessi, e per queste cose la sorveglianza deglistore di applicazioni (come App Store di Apple e Google Play di Google) è piuttosto ben attrezzata.

Ma dalla società di sicurezza informatica Trend Micro arriva la segnalazione di un metodo di attacco insolito che è riuscito a superare anche i controlli dello store dei dispositivi Android, ossia Google Play.

Come proteggersi da Heartbleed, la grande minaccia che ha colpito internet!

La parola Heartbleed vi dice qualcosa? Se la risposta è negativa, allora sappiate che si tratta di una delle più importanti falle di internet mai scoperte nella storia, che sta letteralmente facendo tremare utenti e siti web di tutto il mondo. Se, invece, sapete già di cosa parliamo, continuate a leggere per scoprire anche cosa fare per difendersi…

Windows XP va ufficialmente in pensione, e la sicurezza è a rischio

Anche se non riguarda direttamente il mondo iPhone, oggi è una giornata storica perchè Windows XP, dopo quasi 13 anni di onorata carriera, va ufficialmente in pensione. Tutti gli utenti che non hanno ancora cambiato sistema operativo devono farlo quanto prima, visto che i rischi per la sicurezza sono elevati.

Cryptodefense, il malware sbadato

Cifra i dati e ricatta le vittime, ma dimentica la chiave sul loro PC.

Da qualche tempo stanno facendo danni consistenti gli attacchi informatici basati sul pagamento di un riscatto (ransomware): il criminale invia alle vittime un malware, spesso annidato in un allegato alla mail, che cifra i documenti informatici presenti sul PC o sulla rete delle vittime stesse e poi chiede un riscatto per rivelare la complicatissima password di decifrazione.

Chi si fa infettare e non ha una copia di sicurezza dei propri dati rischia di perdere tutto, per esempio tutti i documenti di lavoro, con effetti potenzialmente devastanti.

Android, come scoprire le app ficcanaso o prosciugabatteria

Se la batteria del tablet o del telefonino non dura più come una volta, potrebbe essere colpa di un'app.

Avete notato che la batteria del vostro tablet o telefonino Android non dura più a lungo come prima? La colpa potrebbe essere di un'app che avete installato: per scoprire quale c'è uno strumento gratuito che si chiama App Permissions di F-Secure.

Questa app visualizza i permessi delle app (in altre parole, le cose che un'app può fare), indicando per nome quelle che possono costarvi denaro, per esempio perché inviano messaggi o fanno chiamate senza il vostro consenso, oppure quelle che riducono l'autonomia della batteria perché attivano servizi ad alto consumo come il GPS. App Permissions consente anche di scoprire quali app si fanno i fatti vostri, per esempio leggendo la rubrica.

Molte app gratuite, particolarmente i giochi, sono delle esche usate per catturare informazioni personali a scopo commerciale (dove va e dove si sposta l'utente, qual è il suo numero di telefonino o quali sono i suoi account, per esempio) o per attivare servizi (per esempio scattare foto e video o fare chiamate senza conferma dell'utente).

Con App Permissions si fanno delle scoperte sorprendenti e inattese: per esempio, un'app che fa il cronometro per gli scacchi (Chess Clock for Android) chiede e ottiene il permesso di sapere dove si trova l'utente. Perché? E perché Barcode Scanner si legge la cronologia Internet dell'utente e i suoi siti preferiti?

App Permissionsnon consente di alterare i permessi concessi alle altre app: offre soltanto la possibilità di rimuovere le app che ci insospettiscono perché chiedono permessi non attinenti alla loro funzione.

E se ve lo state chiedendo, App Permissions non chiede nessun permesso: per verificarlo (o per verificare i permessi di qualunque app Android) si va nelle Impostazioni di Android, si sceglie Altro e poi Gestione applicazioni, si sceglie l'app da ispezionare e si scorre verso il basso per vedere la sezione Autorizzazioni.

Se il telefonino si scalda troppo o la batteria dura troppo poco, forse c'è un malware all'opera.

Quando si installa un'app sul proprio smartphone bisogna fare molta attenzione: fidarsi ciecamente non è una mossa saggia.

Lo sanno coloro che hanno scaricato Songs e Prized, due software per Android fino a poco fa presenti su Google Play e ora rimosse.

I loro utenti notavano che dopo l'installazione di quelle app, il loro telefonino tendeva a scaldarsi molto più di prima; inoltre, la durata della batteria si riduceva drasticamente.

Il motivo è semplice: in segreto, le app facevano qualcosa di cui l'utente non era consapevole.

Questo qualcosa era il mining, ossia la generazione, di Bitcoin,Litecoin e Dogecoin, due valute digitali concettualmente simili alla sorella più famosa.

Tutto ciò ha coinvolto non pochi utenti: si calcola che Songs sia stato scaricato tra 1 milione e 5 milioni di volte e che Prized abbia invece avuto tra 10.000 e 50.000 download.

«I telefoni non offrono prestazioni sufficienti per fungere da miner in maniera efficiente»spiega Trend Micro, che non ha remore a definire le funzioni nascoste malware.

«Gli utenti noteranno presto un strano comportamento: si accorgeranno delle ricariche lente e dei telefonini eccessivamente caldi, che renderanno la presenza dei miner non particolarmente nascosta. Sì, si può ottenere denaro in questo modo, ma a un ritmo glaciale».

Ovviamente, gli utenti delle app non sono i destinatari delle monete digitali generate: queste finiscono direttamente nei portafogli di coloro che hanno realizzato i software.

Word sotto attacco, non aprite quel .RTF

Basta un'anteprima per infettare il PC.

Basta un file RTF aperto con Word per mettere in ginocchio un computer con Windows.

Ad affermarlo è Microsoft stessa con un bollettino di sicurezza piuttosto allarmante, che invita gli utenti a prendere immediate contromisure.

A quanto pare c'è una vulnerabilità nel formato RTF che ancora non è stata risolta; per sfruttarla, il malintenzionato deve creare un apposito documento in formato RTF e farlo aprire alla sua vittima: potrà così prendere il controllo del PC.

Sebbene RTF non sia il formato nativo di Word (lo sono inveceDOC e DOCX), la possibilità di venire infettati non è remota: RTF è infatti il formato di default adoperato da TextEdit, l'editor di testo incluso in Mac OS X.

Inoltre, è possibile essere infettati anche solo aprendo un'anteprima del file in un software che dia questa possibilità, come fa per esempio Outlook.

Per evitare l'infezione, Microsoft consiglia di disabilitare completamente l'apertura dei file RTF o, se proprio non se ne può fare a meno, di obbligare Word a utilizzare la Visualizzazione Protetta dal Centro Protezione.

È anche disponibile un Fix it che automaticamente disabilita l'apertura dei file RTF in Word.

Occorre sottolineare che una soluzione definitiva ancora non è stata preparata: soltanto quando verrà rilasciata una patch che risolva il problema alla radice sarà possibile considerare nuovamente sicuri i file RTF.

Occhio ai siti che usano Google per rubare password

E' in circolazione un tentativo di rubare le password degli account Google.

Una delle tecniche più diffuse e classiche per rubare le password è il cosiddetto phishing: la vittima riceve una mail, proveniente da un mittente apparentemente credibile, che contiene un invito a cliccare su un link allo scopo di aggiornare i propri dati o recuperare un account bloccato o altre scuse analoghe.

Il link porta in realtà a un sito falso, gestito dai ladri di password, che assomiglia visivamente al sito autentico relativo all'account: immettendovi la password, la vittima la regala ai ladri.

La difesa è altrettanto classica: guardare la destinazione del link, per esempio lasciando fermo il puntatore del mouse sopra il link per qualche istante oppure (soluzione meno preferibile) cliccando sul link e guardando se nella barra dell'indirizzo compare un lucchetto chiuso insieme all'indicazione "https" e al nome esatto del sito di cui è stata chiesta la password.

Questo di solito è sufficiente, ma di recente è stato segnalato da Symantec un caso di phishing per il quale questa difesa non basta.

Infatti è in circolazione un tentativo di rubare le password degli account Google che arriva, come consueto, sotto forma di una mail proveniente apparentemente da Google e contenente il solito link-trappola, con la differenza che stavolta il link ingannevole porta a Google.

I ladri di password, infatti, hanno creato in Google Drive una pagina che imita l'aspetto della schermata di login di Google, che è quello che l'utente tipicamente si aspetta di vedere. Essendo ospitata su Google, la pagina visualizza il lucchetto chiuso e l'https che solitamente garantiscono l'autenticità del sito visitato.

Se l'utente abbocca e immette la propria password, viene poi portato a un documento Google normalissimo, per cui è possibile che non si accorga neanche di essere stato ingannato dai ladri.

Qualunque buon antivirus dovrebbe proteggere contro questo genere di trappola, ma è meglio comunque essere vigili:

1. Diffidate sempre delle mail che vi chiedono di cliccare su un link per accedere a un account per qualunque ragione e usano un testo molto generico.

2. Se le ricevete, cestinatele senza pietà.

3. Se volete essere sicuri di non aver cestinato un messaggio autentico, accedete manualmente al sito citato nella mail (digitandone il nome o cliccando sui Preferiti se l'avete incluso fra i Preferiti) per vedere se c'è davvero una comunicazione da parte del sito: se non c'è, vi siete appena salvati da un tentativo di furto di password.

Clampi, il trojan che attacca i conti online

Si installa sui Pc e ruba i codici di accesso a conti online, carte di credito e portali governativi. Sfrutta le falle in Flash e ActiveX.

È in giro già dal 2007 e si è fatto finora conoscere con diversi nomi - Ligats, Llomo, Rscan - ma è adesso, con il nome di Clampi, che sta facendo i danni peggiori.

Clampi è un trojan che passa dai siti pericolosi al Pc sfruttando le falle presenti nelle versioni vulnerabili dei plugin Flash e ActiveX.

Il suo periodo di gloria è iniziato alla fine di luglio, quando si stimava che avesse già infettato centinaia di migliaia di computer con Windows; da allora non ha fatto altro che diffondersi e mirare ai dati di accesso alle banche online.

I ricercatori che gli danno la caccia - alle dipendenze delle software house che si occupano di sicurezza - ritengono probabile che i suoi creatori risiedano nell'Europa dell'est e invitano a non fidarsi ciecamente dell'antivirus, credendo di essere protetti.

Spesso le firme vengono realizzate in ritardo, di giorni o addirittura di settimane, perché non è sempre agevole mettere le mani sull'ultimo esemplare di un trojan come Clampi. Per questo è importante che tutti i software presenti sul Pc - e non solo l'antivirus - siano aggiornati.

Quando Clampi infetta un computer cerca di diffondersi all'interno della rete locale di cui questo fa parte, offrendo inoltre ai propri creatori i servizi di proxy anonimo.

A quel punto si mette in attesa finché un utente dei Pc infettati accede a uno dei 4.500 siti "bersaglio": ruberà i dati di connessione a banche online, compagnie che emettono carte di credito, casinò online, nonché portali militari e governativi.

Gravi falle nelle applicazioni per Facebook

Alcune vulnerabilità di tipo cross-site scripting mettono in pericolo gli utenti. Tra i rischi c'è il download inconsapevole di trojan.

Unu, l'hacker rumeno che qualche tempo fa ha scoperto e segnalato le falle presenti nel sito di Kaspersky e in quello di BitDefender, ha segnalato la presenza di vulnerabilità di tipo cross-site scripting in alcune applicazioni per Facebook.

In particolare, Unu ha indicato delle falle presenti in cinque applicazioni sviluppate da Newscloud, ma ha affermato che il problema è generale e non riguarda soltanto quegli specifici software.

La presenza delle vulnerabilità ha come effetto l'esposizione agli attacchi di una directory scrivibile e l'accesso alla linea di comando, "dalla quale è possibile fare praticamente tutto" come spiega Unu: i rischi conseguenti sono molto vari e vanno dalla possibilità di redirigere i visitatori verso siti pericolosi alla presenza di programmi che scaricano trojan sui Pc degli utenti.

Newscloud - il cui Ceo, Jeff Reifman, è un ex dipendente di Microsoft - è subito intervenuta bloccando le applicazioni vulnerabili in attesa di risolvere i problemi segnalati.

Il trojan che registra le telefonate di Skype

Peskyspy salva le chiamate in formato Mp3 e poi le invia via Internet al suo creatore. Salvi solo gli utenti di Linux e Mac Os X.

La sicurezza delle telefonate tramite VoIp ha subito un duro colpo dopo il rilascio di un trojan in grado di registrare le chiamate di skype in formato Mp3, crittografarle e inviarle via Internet.

Il suo autore è il programmatore svizzero Ruben Unteregger, che ha pubblicato sotto Gpl il codice sorgente del proprio lavoro sul sito Megapanzer.

Le società che si occupano di sicurezza sono già al lavoro nella realizzazione delle firme per consentire ai programmi antivirus di riconoscere il trojan, che Symantec ha ribattezzato Peskyspy.

F-Secure fa inoltre sapere che il programma di Unteregger, oltre a registrare le chiamate e inviarle alla prima occasione, è dotato anche di funzionalità di backdoor.

La possibilità di scaricare il codice sorgente del trojan espone al rischio che da adesso inizino a proliferare molte varianti personalizzate di questo malware, mentre Unteregger non vede particolari problemi.

Già prima di rivelare al mondo il codice aveva detto in un'intervista: "Il codice sarà pubblicato, sarà analizzato non appena caricherò i binari, le compagnie antivirus creeranno le fime, il malware sarà identificato, fermato e cancellato, se cercherà di infettare un sistema".

Le uniche a essere contente dell'esistenza di Peskyspy saranno probabilmente le forze dell'ordine tedesche, da tempo preoccupate dall'impossibilità d intercettare skype.

Il loro peggior problema consisterà probabilmente nel dover ascoltare tutte le conversazioni prima di scovare qualcosa di utile.

In ogni caso, il software di Unteregger è un problema solo per chi usa Skype sotto Windows: Linux e Os X sono immuni da questo malware.

I 100 siti più infetti dell'estate

Ecco la classifica dei Dirtiest Web Sites of Summer 2009, il "peggio del peggio" di Internet sulla base del numero di minacce rilevate.

Per la maggior parte di noi, essere online è un'esperienza quotidiana – navighiamo sul Web per fare shopping, accedere al conto corrente o semplicemente per restare in contatto con gli amici e la famiglia. Come possiamo riconoscere i siti sicuri ed evitare quelli pericolosi, in cui rischiamo il furto dei dati personali o il danneggiamento del Pc?

Symantec ha stilato la classifica dei Dirtiest Web Sites of Summer 2009, ovvero i 100 siti che il software Norton Safe Web ha riconosciuto come i più infetti nel mese di agosto 2009. Questi siti rappresentano il "peggio del peggio" di Internet sulla base del numero di minacce rilevate.

Non è sorprendente scoprire che il 48% di questi siti propone contenuti per adulti. Ma l'elenco comprende anche portali insospettabili, dedicati ad esempio alla caccia al cervo, a servizi di catering, al pattinaggio, a studi legali e alle ultime novità dell’elettronica.

Il malware è la minaccia più comune rilevata in questi siti, seguita da rischi per la sicurezza e possibili intrusioni nel browser. Navigando in uno dei siti, anche senza scaricare nulla o seguire qualche link specifico, si rischia di infettare il computer o, peggio, mettere i propri dati nelle mani dei cybercriminali.

"Come è cambiato lo scenario del malware negli ultimi tempi?"

Ida Setti di Symantec Italia: "La classifica conferma i risultati delle nostre ricerche. Sta crescendo in misura esponenziale il numero di minacce online, che evolvono costantemente perché i cybercriminali cercano sempre nuovi modi per rubare denaro e informazioni sensibili. Nel 2008, la maggior parte delle infezioni si è verificata durante la navigazione Web".

"Cosa rende questi 100 siti così pericolosi?"

Symantec: "Il numero medio di minacce che Norton Safe Web individua in un portale qualsiasi è 23. I Dirtiest Web Sites hanno l’incredibile media di 18.000 minacce per sito. 40 dei 100 siti classificati da Symantec ne hanno oltre 20.000 ciascuno. Il 75% di questi indirizzi distribuisce malware da più di sei mesi".

"Come funziona esattamente Norton Safe Web?"

Symantec: "Il servizio scandaglia il Web e analizza milioni di siti, sfruttando la rete dei 20 milioni di membri della Norton Community Watch che quotidianamente inviano Url sospette per verificarne in tempo reale la sicurezza e l'attendibilità. Norton Safe Web utilizza tecnologie di scansione signature-based, motori avanzati per identificare le possibili intrusioni, analisi dei comportamenti e delle azioni di installazione e disinstallazione per rilevare potenziali minacce come il phishing, il download di malware, le intrusioni nel browser e il collegamento a siti esterni pericolosi". In altre parole: tutte le minacce che nessuno vorrebbe mai fronteggiare.

L'elenco dei siti più pericolosi è pubblicato qui.

Grave falla in tutte le versioni di Linux

Dopo gli inconvenienti di Mac OS X e Windows 7 RTM, tocca ora al papà del popolarissimo Pinguino di correre ai ripari.

Evidentemente agosto è stato il mese della scoperta delle falle; alle usuali notizie relative a vulnerabilità sui prodotti di Microsoft, si erano aggiunte quelle inerenti il sistema operativo di Apple, nonché il nuovissimo Windows 7 ancora in fase di rodaggio ma comunque arrivato alla "copia gold" cioè alla compilazione definitiva in attesa della distribuzione.

Secondo quanto pubblicato sul sito di Neophasis è stata trovata e comunicata una falla molto importante relativa ai sistemi basati sul kernel Linux; anzi, su tutti i kernel sinora usciti negli ultimi anni.

Il bug in questione permetterebbe a un malintenzionato la facile acquisizione dei diritti di superuser e quindi l'esecuzione di codice anche malevolo senza che per altro l'utente ordinario si possa accorgere delle routine in esecuzione.

L'importanza della falla ha avuto per conseguenza l'immediata discesa in campo dello stesso Linus Torvalds, che ha distribuito una apposita patch che dovrebbe già essere disponibile per le maggiori distribuzioni.

Grave falla in Windows Xp

La colpa è dell'ActiveX Microsoft Video, che è bene disattivare quanto prima. Ancora non esiste una patch.

Windows Xp, il sistema operativo che Microsoft è obbligata a considerare praticamente eterno, è affetto da una falla di sicurezza scoperta nel controllo ActiveX Microsoft Video.

Lo sfruttamento di questa falla espone il computer all'esecuzione di codice arbitrario da parte di chi porta l'attacco, che avviene quando l'utente clicca su un link che porti a un sito pericoloso.

Per ora non esiste ancora una patch, mentre Microsoft suggerisce di disabilitare il supporto all'ActiveX incriminato, seguendo le dettagliate indicazioni rilasciate dall'azienda.