Un nuovo attacco informatico ha preso di mira gli utenti di dispositivi Android e ha compromesso finora la sicurezza di oltre un milione di account di diversi servizi Google. La nuova ed estesa campagna di malware – nota col nome di “Gooligan” – è stata individuata dalla società di sicurezza Check Point che afferma di essere al lavoro con Google per individuarne la fonte.
Il software sarebbe in grado di sbloccare i dispositivi effettuando il rooting, rubando indirizzi email, consentendo di fatto ai malintenzionati di prendere possesso e controllo di tutti i servizi Google ad essi associati, installando, poi, app a pagamento all’insaputa dell’utente. Si stima che le app installate dal virus sui dispositivi infetti siano circa 30.000 al giorno, ovvero 2 milioni in totale da quando il malware è entrato in attività ad agosto. I device colpiti o a rischio sono quelli che montano distribuzioni 4 e 5 di Android, che rappresentano ancora oggi il 74% del totale dei dispositivi in uso attualmente, il 57% dei quali si trova in Asia, mentre solo il 9% è in Europa.
Tuttavia malgrado il vero e proprio meccanismo di terrorismo mediatico e disinformazione messo in atto da alcuni siti “specializzati” e dalla stampa on-line, c’è da dire che “contrarre” Gooligan non è così semplice come sostenuto in questi giorni: il “contagio” avviene scaricando app con codice “malevolo” da market non sicuri o in maniera diretta da link presenti nelle campagne di phishing tramite mail o banner; una volta terminato, tramite server esterni effettua il rooting del dispositivo, installando quindi i moduli necessari alla cattura l’account Google dell’utente, installare altre app, cliccare sui banner e rilasciare recensioni, per poi scaricare più volte la stessa app falsificando il codice IMEI e IMSI del telefono raddoppiando di fatto facilmente il numero di like e di recensioni, ovviamente positive.
Come funziona
Gooligan è in grado di sbloccare i dispositivi effettuando il rooting, poi si impadronisce degli indirizzi email e dei token di accesso agli account. Grazie a queste informazioni può accedere a Gmail, Google Photos e Google Docs, ma anche a Google Play. Ed è proprio tramite il maketplace digitale che i creatori del malware guadagnano, perché provvedono a far scaricare al dispositivo delle app a pagamento senza che il legittimo proprietario possa opporsi. Check Point stima che le app installate in questo modo sugli smartphone e i tablet infetti siano almeno 30.000 al giorno, 2 milioni in totale da quando il malware è entrato in attività ad agosto.
Chi rischia
L’infezione avviene quando si scarica una app contaminata da Gooligan su un dispositivo Android vulnerabile, oppure quando si clicca un link malevolo contenuto in un messaggio di phishing, che avvia il download del malware. Gooligan è in grado di colpire i dispositivi su cui sono installati Android 4 (Jelly Bean, KitKat) e 5 (Lollipop). Si tratta di circa il 74 per cento dei device dotati del sistema operativo di Mountain View attualmente in uso. Circa il 57 per cento dei dispositivi già colpiti si trova in Asia, che risulta essere l’area più colpita, mentre il 9 per cento è in Europa. Tra gli indirizzi mail rubati, molti sono collegati ad account aziendali. Non è a rischio chi ha già installato versioni recenti del sistema operativo Android, come Marshmallow.
Come scoprire se il proprio device è stato colpito
I ricercatori di Check Point e il team di sicurezza di Google sono al lavoro per sconfiggere Gooligan. Gli utenti colpiti sono già stati contattati da Mountain View, che ha anche revocato i token di accesso dei loro account ed eliminato le app colpite da Google Play. Check Point ha creato uno strumento online gratuito grazie a cui qualunque utente può controllare se l’indirizzo email associato al suo dispositivo è stato rubato. «Se c’è stata una violazione del vostro account» – spiega Michael Shaulov, head of mobile products di Check Point – «dovrete installare un sistema operativo pulito. Consigliamo di spegnere il dispositivo e contattare un tecnico certificato. Questo furto di più di un milione di informazioni dagli account Google è inquietante: gli hacker stanno cambiando strategia, ora prendono di mira i dispositivi mobili per appropriarsi dei dati sensibili».
