Attacco Simjacker: cos’è, chi ne è colpito e come prevenirlo

Kaspersky Lab ha indagato sull’attacco di tipo Simjacker che prende di mira le SIM dei nostri smartphone, spiegandone il funzionamento e offrendo alcuni consigli su come prevenirlo.

Simjacker

Recentemente gli esperti di AdaptiveMobile Security hanno scoperto un metodo di attacco ai telefoni cellulari che impiega un normale computer e un modem USB a buon mercato. Mentre alcuni vecchi metodi di spionaggio attraverso il cellulare richiedevano attrezzature speciali e una licenza di telecomunicazione, questo attacco, chiamato Simjacker, sfrutta una vulnerabilità delle schede SIM.

Kaspersky Lab ha indagato su questo tipo di attacco spiegandone il funzionamento e offrendo alcuni consigli su come prevenirlo. La maggior parte delle schede SIM rilasciate a partire dai primi anni 2000, comprese le eSIM, sono dotate di un menu che include attività come il controllo del saldo, la ricarica, assistenza tecnica e a volte extra come il meteo, l’oroscopo e così via. I vecchi telefoni mostravano il tutto nel menu principale, iOS lo include tra le impostazioni (nella sezione Applicazioni SIM) e negli smartphone Android è un’applicazione indipendente chiamata SIM Toolkit.

Il menu è essenzialmente un’applicazione o, più precisamente, diverse applicazioni con il nome generico SIM Toolkit (STK); questi programmi però non vengono eseguiti sul telefono in sé, ma sulla scheda SIM, che è in realtà un piccolo computer con un sistema operativo e programmi propri. STK risponde a comandi esterni, come i pulsanti digitati sul menu dell’operatore, e fa sì che il telefono esegua determinate azioni, come l’invio di SMS o comandi USSD.

Una delle applicazioni comprese nel STK si chiama S@T Browser, utilizzata per visualizzare pagine web di un certo formato e ubicate nella rete interna dell’operatore. Ad esempio, S@T Browser può trasmettere informazioni sul vostro saldo residuo.

L’applicazione S@T Browser non viene aggiornata dal 2009 e, sebbene nei dispositivi moderni le sue funzioni siano svolte da altri programmi, è ancora utilizzata attivamente o, per lo meno, è ancora installata su molte schede SIM. I ricercatori non hanno indicato quali regioni o compagnie telefoniche specifiche vendano le schede SIM con questa applicazione, ma sostengono che ne siano dotate più di 1 miliardo di utenti in almeno 30 Paesi ed è proprio in S@T Browser che è stata scoperta la vulnerabilità in questione.

Gli attacchi Simjacker

L’attacco parte con un messaggio SMS contenente una serie di istruzioni per la scheda SIM. Seguendo queste istruzioni, la SIM richiede al cellulare il numero di serie e il Cell ID della stazione base alle quale si connette l’utente e invia una risposta SMS con queste informazioni al numero del cybercriminale.

Le coordinate della stazione base sono note (e persino disponibili online), quindi il Cell ID può essere utilizzato per determinare la posizione dell’utente nel raggio di diverse centinaia di metri. I servizi basati sulla localizzazione (LBS) si fondano sullo stesso principio per determinare la posizione senza assistenza satellitare, ad esempio in ambienti chiusi o quando il GPS è spento.

Tutti questi dettagli, con una scheda SIM hackerata, sono totalmente invisibili per l’utente. Nell’app Messaggi non vengono visualizzati né i messaggi SMS in arrivo con comandi, né le risposte con i dati di localizzazione del dispositivo, per cui le vittime di Simjacker probabilmente non si rendono nemmeno conto di essere state spiate.

Simjacker: chi sono le vittime?

Secondo AdaptiveMobile Security è stata sorvegliata la posizione di diverse persone in Paesi non specificati. E in ognuno di questi Paesi vengono compromessi circa 100-150 numeri al giorno. In genere, le richieste non sono inviate più di una volta alla settimana, anche se alcuni movimenti delle vittime sono monitorati molto più accuratamente. Il team di ricerca ha notato che a vari destinatari sono stati inviati diverse centinaia di SMS dannosi alla settimana.

Gli attacchi come Simjacker possono andare molto oltre

Come hanno notato i ricercatori, i criminali informatici non hanno utilizzato tutte le possibili funzionalità delle schede SIM con S@T Browser. Ad esempio, gli SMS possono essere utilizzati per chiamare qualsiasi numero, inviare messaggi con testo casuale a numeri random, aprire link nel browser e persino disattivare la scheda SIM, togliendo alla vittima l’opportunità di utilizzare il telefono.

La vulnerabilità apre numerosi e potenziali scenari di attacco. I criminali possono trasferire denaro via SMS, chiamare numeri premium, aprire pagine di phishing con il browser o scaricare dei Trojan. La vulnerabilità è particolarmente pericolosa perché non dipende dal dispositivo su cui è inserita la scheda SIM. Il set di comandi STK è infatti standardizzato e supportato da tutti i telefoni e persino dai dispositivi IoT con SIM. Per alcune operazioni (come effettuare una chiamata), alcuni dispositivi richiedono la conferma dell’utente, ma in molti casi non è così.

Come prevenire un attacco Simjacker?

Sfortunatamente, non esiste un metodo in sé per fermare gli attacchi alle schede SIM. Gli operatori di telefonia mobile hanno il dovere di garantire la sicurezza dei loro clienti. In particolare, dovrebbero evitare di utilizzare applicazioni non aggiornate di menu SIM e di bloccare i codici SMS contenenti comandi pericolosi.

Tuttavia, ci sono buone notizie. Anche se per eseguire l’attacco non è necessario un hardware costoso, richiede conoscenze tecniche e abilità abbastanza importanti, il che significa che è probabile che questo metodo non venga utilizzato da un criminale informatico qualsiasi.

Inoltre, i ricercatori hanno informato lo sviluppatore di S@T Browser, SIMalliance, della vulnerabilità. In risposta, l’azienda ha pubblicato una serie di linee guida di sicurezza per gli operatori che utilizzano l’app. Gli attacchi Simjacker sono stati segnalati anche alla GSM Association, organizzazione internazionale che rappresenta gli interessi degli operatori di telefonia mobile di tutto il mondo. Si spera quindi che le aziende adottino quanto prima tutte le misure di protezione necessarie.