Se nell'ultimo anno è stata dedicata molta attenzione al malware di tipo mobile, le sue limitate capacità di propagazione non lo hanno fatto considerare seriamente da parte dei più.

Da tempo gli esperti richiamano l'attenzione sul fatto che gli autori di malware preferiscono utilizzare tecnologie nuove ed emergenti, e che pertanto questa tendenza è destinata a condurre a un attacco in piena regola contro gli ambienti mobili. I ricercatori della società specializzata in antivirus e sicurezza dei contenuti Trend Micro hanno scoperto una minaccia mobile di questo genere confermando l'esistenza di sforzi dedicati da parte degli autori di malware.

SYMBOS_CARDTRP.A nasce all'interno dei dispositivi Symbian Series 60 ma ha la possibilità di diffondersi anche sui PC dotati di sistemi operativi Microsoft Windows. Il dispositivo mobile può essere infettato in due modi:

1) ricevendo il malware manualmente tramite Bluetooth o MMS
2) scaricando e installando il malware dal Web

Come funziona SYMBOS_CARDTRP.A
Come molti suoi predecessori, SYMBOS_CARDTRP.A si propaga via Bluetooth (entro un raggio di 10 metri); l'infezione risiede nella memory card del dispositivo mobile.
Questo malware sovrascrive le normali applicazioni installate sul dispositivo colpito sostituendole con copie non funzionanti, portando a un blocco operativo del sistema.
Il malware possiede inoltre la capacità di infettare i PC Windows dal telefono. Se l'utente inserisce la memory card infetta all'interno del relativo slot del PC, il codice può propagarsi al personal computer e da qui tentare di colpire altri PC.

SYMBOS_CARDTRP.A deposita i seguenti quattro file all'interno della directory E: (comunemente usata dalla memory card):
• fsb.exe, rilevato da Trend Micro come BKDR_BERBEW.Q, tenta di colpire le macchine e sottrarre informazioni relative alle password
• buburuz.ICO, che si maschera da icona associata alla memory card
• autorun.inf, che tenta di lanciare automaticamente in esecuzione fsb.exe
• SYSTEM.exe, rilevato da Trend Micro come WORM_WUKILL.B

Quando la memory card viene inserita in un computer Windows, il file autorun.inf tenta di lanciare fsb.exe. Inoltre, poiché il file SYSTEM.exe non contiene una routine di startup automatica, presenta l'aspetto di una normale icona di cartella nel tentativo di spingere l'utente a lanciarlo in esecuzione.
Se eseguito con successo, il malware lancia quindi WORM_WUKILL.B per tentare la diffusione dell'infezione su altri PC.
Sebbene il livello potenziale di infezione di SYMBOS_CARDTRP.A sia ancora allo stadio iniziale, Raimund Genes, Chief Technologist for Malware Trend Micro, raccomanda a tutti gli utenti di restare attenti. "Questo attacco è una prova concettuale che può indicare l'approssimarsi di una nuova tipologia di minaccia a tecnica mista", ha dichiarato Genes. "Con l'ulteriore evoluzione delle minacce mobili è possibile che emergano nuovi attacchi come questo, dotati però di tecniche di propagazione più robuste e quindi di un superiore potenziale infettivo".

Le misure per difendersi
Gli esperti in sicurezza di Trend Micro consigliano agli utenti di intraprendere le seguenti misure per proteggersi contro questo e altri tipi di attacco:

1) Non accettare alcuna applicazione o SMS non richiesti provenienti da sconosciuti, in particolare se giungono del tutto inaspettatamente.
2) Scaricare applicazioni solamente da siti di fiducia, e anche in tale caso verificare che l'applicazione scaricata sia effettivamente quella desiderata.
Per ottenere un modulo di prova gratuito di protezione contro questa minaccia è possibile visitare l'indirizzo www.trendmicro.com/mobilesecurity Per ulteriori informazioni su SYMBOS_CARDTRP.A è possibile consultare la Trend Micro Virus Encyclopaedia all'indirizzo http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=SYMBOS%5FCARDTRP%2EA&VSect=T

Fonte: Data Manager Online