Tutto quello che occorre sapere su Ghost Push, il malware che esegue il rooting dei device

Solitamente su Android i malware seguono precisi schemi d’infezione e d’attacco nei confronti dei device Android: dagli adware ai ransomware, il metodo può variare ma generalmente si possono riscontrare delle prassi comuni. Non è il caso però di Ghost Push, un malware che non solo è riuscito ad insediarsi all’interno di Google Play infettando più di 600.000 device al giorno, ma anche possiede la capacità di eseguire il rooting dello smartphone: qualora riuscisse nei suoi intenti sarebbe quasi impossibile eliminare Ghost Push dal device, data la totale padronanza dei processi che acquisirebbe.

Fortunatamente Google e gli sviluppatori Android si sono accorti della minaccia e sono corsi ai ripari: siete pronti a scoprire che cos’è Ghost Push e come difendersi dai suoi attacchi?

Che cos’è Ghost Push

Ghost Push è un malware di relativamente recente produzione, proveniente da quella che ormai sembra essere la fonte dei malware più pericolosi apparsi negli ultimi anni sulle piattaforme mobili e fisse: la Cina; così come XCodeGhost, che ha interessato però l’ambiente Apple, anche Ghost Push è riuscito ad inserirsi all’interno del market di applicazioni ufficiale del sistema operativo per il quale è stato sviluppato, sotto forma di innocue applicazioni ed appartenenti a brand di una certa fama, come Talking Tom 3.

Le mentite spoglie di cui Ghost Push si è rivestito gli hanno permesso di infettare più di 600.000 dispositivi al giorno: il report del 19 settembre rilasciato da Cheetah Mobile, la stessa casa di sviluppo autrice di Clean Master, ha evidenziato come il numero delle app infettate ma al contempo presenti su Google Play fosse ben 39, per un totale di 14.847 modelli di smartphone differenti colpiti dal malware e 3.658 marche coinvolte.

Come il malware attacca gli smartphone

In che modo Ghost Push prende possesso degli smartphone degli utenti? Solitamente i malware, e Ghost Push non fa eccezione, prediligono il download diretto dei file da siti o banner pubblicitari appositamente costruiti o infettati a loro volta; Ghost Push però non si limita semplicemente ad installarsi all’interno del dispositivo ospite, ma necessita di una serie di strumenti necessari per permettergli di ottenere i permessi di root, e che di conseguenza vengono scaricati insieme all’app malevola.

Grazie alla ricostruzione dei processi eseguita da Cheetah Mobile, si può chiaramente notare dallo schema riportato nell’immagine che Ghost Push, dopo il contagio, inizia a modificare i file delle applicazioni e di sistema fino ad arrivare all’installazione di una ROM modificata, che garantisce l’impunità del malware nel completamento dei suoi scopi: nei primi momenti del processo infatti, senza che l’utente ne sia a conoscenza, Ghost Push trasferirà dai server http:api.aedxdrcb.com/ggview/rsddateindex e http://down.upgamecdn.com/onekeysdk/tr_new/rt_0915_130.apk. i file necessari per il rooting dello smartphone, indifferentemente dal modello o dalla marca.

Il fine ultimo di Ghost Push è naturalmente il controllo totale dello smartphone: grazie infatti alla presenza di una versione modificata del sistema operativo il virus è capace di prevenire la propria disinstallazione: il file APK originario e responsabile dell’infezione è nascosto all’interno della ROM stessa, rendendo vano qualsiasi tentativo di resistenza. Ghost Push inoltre, grazie a due sub-pacchetti denominati TimeService e MonkeyTest, forza l’installazione di ulteriori applicazioni, naturalmente infette.

L’ultimo passaggio è rappresentato dalla disattivazione del Wifi e dalla presa di possesso del traffico dati, grazie al quale il malware attiverà il download di contenuti a pagamento i cui ricavi, naturalmente, saranno esclusivamente profitto per gli sviluppatori di Ghost Push e rendendo lo smartphone potenzialmente una base operativa per la diffusione del contagio. Se volete saperne di più, potete leggere QUI il report di Cheetah Mobile.

Come difendersi da Ghost Push

Grazie al rapido intervento di Google le applicazioni malevole sono state espulse da Google Play, ma questo naturalmente non mette gli smartphone Android al riparo da un’eventuale infezione.

Sempre secondo il report di Cheetah Mobile, sono milioni i device a rischio e soprattutto quelli presenti nei Paesi in cui Ghost Push si è palesato in maniera più frequente, tra cui Russia, Indonesia e Medio Oriente; l’Italia attualmente si trova in una posizione intermedia, per la quale non può considerarsi completamente al sicuro. La casa di sviluppo ha lanciato su Google Play un’app appositamente creata per la rilevazione e l’eliminazione di Ghost Push, ma anche l’app ESET Mobile Security, baluardo contro minacce di questo tipo, rimane sempre una valida alternativa.

Vi invitiamo poi a tenere sempre un comportamento responsabile per ridurre al minimo il rischio: evitate di frequentare siti poco raccomandabili, non scaricate mai file APK da market esterni (se non di fiducia, naturalmente) e evitate di cliccare su banner pubblicitari di servizi push.

Non solo Ghost Push: scopri QUI i malware che attentano alla sicurezza degli smartphone Android!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè i prossimi Approfondimenti sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!