Un certo numero di applicazioni dannose sono state scaricate dagli utenti Android, dando cosi’ la possibilità al malware al loro interno di violare 1,3 milioni di account Google.
Il malware, chiamato Gooligan dai ricercatori di sicurezza Check Point, raccoglie i dati dal telefono cellulare che ha infettato e installa un rootkit – una collezione di software anche malevoli per ottenere l’accesso al dispositivo – che da’ agli hacker i permessi di amministratore dei dispositivi Android e ruba indirizzi email e i token di autenticazione in essi custoditi. A questo punto l’account Google viene violato, e gli hacker possono avere accesso a Google Foto, Google Play, Google Docs e a Gmail.
Fortunatamente i dispositivi che eseguono le due piu’ recenti versioni di Android non sono vulnerabili a Gooligan, vale a dire che chi ha un device Google con 6.x Marshmallow o 7.x Nougat possono stare tranquilli. Ad essere vulnerabili sono i dispositivi con le precedenti versioni di Android, tra cui Jelly Bean, KitKat e Lollipop.
Sono stati stimati 1,3 milioni di account Google colpiti, di cui il 57% si trova in Asia, il 19% nelle Americhe, il 15% in Africa e il 9% in Europa. Check Point nota che centinaia di indirizzi e-mail sono associati ad account aziendali in tutto il mondo.
Google si è attivata per rimuovere le applicazioni dannose dal Play Store di Google. I ricercatori di Check Point stanno lavorando a stretto contatto con Google per indagare sulla fonte di Gooligan.
"Siamo riconoscenti sia alla ricerca di Check Point che alla loro partnership avendo lavorato insieme per capire questi problemi", ha dichiarato Adrian Ludwig, direttore della sicurezza di Android per Google. "Come parte del nostro continuo impegno per proteggere gli utenti da malware, abbiamo preso numerose misure per proteggere i nostri utenti e migliorare la sicurezza dell’ecosistema Android."
Nella ricerca di Check Point sono state identificate decine di applicazioni false che sono state infettati con il malware Gooligan.
HummingBad, malware che infetta 10 milioni di telefoni Android
HummingBad, malware che infetta 10 milioni di telefoni Android
Per Check Point 13mila account Google vengono colpiti da Gooligan tutti i giorni. È possibile controllare se il proprio account è compromesso accedendo al seguente sito web che Check Point ha appositamente creato: https://gooligan.checkpoint.com/. Se l’account è stato violato, è necessario seguire i seguenti passaggi: nuova installazione di un sistema operativo sul dispositivo mobile è necessario (un processo chiamato "flashing") e, poiché si tratta di un processo complesso, si consiglia di farlo fare ad un esperto o al proprio gestore di telefonia; bisogna inoltre modificare la password dell’account di Google subito dopo questo processo.
Dall’indagine sono state trovate tracce del codice malware Gooligan in decine di applicazioni scaricate da store alternativi al Play Store di Google dove molte delle app distribuite sono gratuite, o offrono versioni gratuite di applicazioni che invece si trovano a pagamento nel Play Store. Tuttavia, Check Point sottolinea come la sicurezza di questi negozi e le applicazioni che vendono non sono sempre verificate.
Per Check Point, Gooligan è la più grande violazione di account Google fino ad oggi provata.
