È più probabile che tu sia colpito da un fulmine che infettato da malware mobile

Alla conferenza RSA 2015, i ricercatori dell'azienda di sicurezza Damballa hanno annunciato che, negli Stati Uniti, è molto più probabile che tu sia colpito da un fulmine che infettato da malware mobile. Mentre questo supporta un precedente studio condotto dall'azienda, Damballa ha riscontrato che sta succedendo qualcosa di molto strano sui dispositivi mobili.

Tracciamento del traffico dannoso

L'attività di Damballa è la difesa automatica delle violazioni basata sull'analisi dei big data. Lavorando con un importante operatore wireless statunitense, Damballa è stato in grado di confrontare i dati sul traffico con URL dannosi noti estratti da circa 70.000 campioni di malware mobile. "È stato un po 'un processo manuale per rimuovere i domini comuni che probabilmente non sono associati al malware", ha spiegato Charles Lever, ricercatore scientifico senior. "È stato doloroso."

Nella loro ricerca, Lever ha affermato che Damballa non aveva accesso ai payload di queste trasmissioni, ma solo agli URL. La società ha chiarito che non aveva visibilità sui dati dei clienti.

La portata dello studio di Damballa è enorme, concentrandosi su circa 151 milioni di dispositivi al giorno, rispetto ai 25 milioni quando la società ha effettuato lo studio nel 2012. La società ha affermato che questo ammontava al 50% del traffico di dati mobili negli Stati Uniti, ma di questi, l'azienda ha visto solo 9.688 dispositivi raggiungere URL associati a malware mobile.

Ciò equivale a 0, 0000 percento del traffico dannoso. Nel comunicato stampa dell'azienda, Damballa ha dichiarato che le probabilità ufficiali dei National Weather Services di essere colpite da un fulmine erano significativamente più alte all'1, 3 per cento.

Rifugio

Lever ha affermato che le conclusioni dello studio hanno supportato l'idea che, mentre il malware mobile è stato molto discusso nei circoli di sicurezza (e da questo autore). "Stiamo trovando molti campioni di malware, ma non sono sicuro che questi campioni si stiano facendo strada sui loro dispositivi", ha affermato Lever.

"Abbiamo forti mercati di prima parte negli Stati Uniti", ha continuato Lever, riferendosi all'App Store di Apple e al Google Play Store. Ha detto che quei negozi hanno buone misure di sicurezza che hanno tenuto fuori gli attori peggiori e includono strumenti che consentono a Apple e Google di disabilitare o rimuovere in remoto app dannose che potrebbero trovare la loro strada sui dispositivi degli utenti.

Naturalmente, lo studio di Damballa ha dei limiti. Ad esempio, si concentra sul traffico di rete potenzialmente dannoso piuttosto che su installazioni dannose effettive su dispositivi mobili. Copre anche solo la metà degli Stati Uniti, il che lascia gran parte del mondo senza conto. Lever ha affermato che è possibile che le infezioni da malware mobile possano essere molto più elevate al di fuori degli Stati Uniti "Ho potuto vederlo essere più elevato ma non potevo dirlo empiricamente", ha dichiarato Lever.

È interessante notare che, del traffico mobile dannoso osservato da Damballa, la maggior parte sarebbe caratterizzata da adware.

Traffico oscuro

Ma mentre il malware mobile non ha fatto un grande spettacolo nello studio di Damballa, qualcos'altro ha fatto. Oltre al traffico associato al malware mobile, Lever ha spiegato che Damballa ha anche monitorato le richieste dai dispositivi mobili ad altri tipi di infrastrutture dannose. Potrebbe trattarsi di un'infrastruttura per malware desktop, operazioni di phishing, botnet e così via. Queste richieste a parti ombreggiate di Internet da parte di dispositivi mobili erano, ha spiegato Lever, significativamente più elevate rispetto alle richieste di URL malware mobili.

Quanto più grande? Per diversi ordini di grandezza. Damballa ha segnalato 100.000 richieste associate a malware mobile, che ha rintracciato in quei 10.000 dispositivi dispari. Ha tracciato 100 milioni di richieste a siti che sembravano essere download di driveby e 1 miliardo (con una "b!") Richieste associate a malware destinato al desktop. Ancora una volta, queste richieste provengono tutte da dispositivi mobili.

Lever ha affermato che sebbene queste richieste losche provenienti da dispositivi mobili siano "significativamente più grandi di quelle che vediamo per i malware mobili", la loro causa è in gran parte sconosciuta.

Lever ha suggerito che parte del traffico potrebbe provenire da utenti mobili che cadono vittime di siti di phishing. Altri esperti di sicurezza hanno suggerito che il phishing potrebbe essere più semplice sui dispositivi mobili perché lo schermo relativamente piccolo taglia gli URL dall'aspetto sospetto e l'icona di blocco associata a una connessione SSL non è visibile.

Durante la conversazione, Lever è rimasto in gran parte ottimista sulla sicurezza mobile, ma quando ha discusso di questi risultati insoliti, ha preso una svolta decisamente negativa. Ha detto che mentre qualunque cosa causasse questa enorme quantità di traffico di rete sospetto potrebbe non essere un problema oggi, potrebbe esserlo in futuro. O potrebbe anche essere il risultato di applicazioni dannose attualmente sconosciute.

• Android 4.1.1 ancora vulnerabile a Heartbleed Android 4.1.1 ancora vulnerabile a Heartbleed
• Le app Android dannose possono compromettere Gmail Le app Android dannose possono compromettere Gmail
• Lunedì sulle minacce mobili: le app Android nascondono malware di Windows Lunedì le minacce mobili: le app Android nascondono malware di Windows

"È una vasta area di rischio che non è ben studiata in questo momento e potrebbe utilizzare più ricerche per scoprire di cosa si tratta", ha detto Lever. "È phishing? È spam? Qual è il problema? E quanto attualmente influisce sui dispositivi mobili e quanto potrebbe in futuro?"

Speriamo che le ricerche future saranno in grado di mettere insieme questo puzzle.