SicurezzaNews

Tutto ciò che occorre sapere su Gooligan, il malware che ha già divorato 1 milione di account Google

Di GugliElmo

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Una fabbrica del male: non potrebbe essere identificata in altro modo la catena di montaggio, perfettamente funzionante ed intelligentemente integrata nel sistema Android, che il malware denominato Gooligan ed identificato dalla società di sviluppo e ricerca Checkpoint ha edificato per generare profitti sicuri e costanti, il tutto a discapito naturalmente degli utenti colpiti che vedevano le proprie credenziali, oltre che i propri device, perdere l’effettiva autonomia normalmente in loro possesso.

Dopo aver infettato più di 1.000.000 di account Google, Checkpoint è giunto alla conclusione di un’estenuante caccia al malware iniziata nel mese di settembre e conclusasi in questi giorni, a testimonianza della diffusione del fenomeno: siete pronti per scoprire tutto ciò che occorre sapere su Gooligan, il malware che roota e deruba i device?

Che cos’è Gooligan

Un liquido malefico ed infetto che muta forma e dimensioni a seconda del contenitore senza però variare la sostanza: questa è la natura di Gooligan, un malware terribilmente adattivo e sviluppato che, nato nel 2015, è rimasto praticamente silente e discreto sino a raggiungere, nel 2016, un periodo di grande laboriosità concludendo la propria parabola – che però, secondo gli analisti, è ben lontana dal conoscere una fine vera e propria – con un attivo di oltre 1 milione di account violati, 30.000 app infette distribuite nel web per un totale di 2.000.000 di installazioni complessive.

gooligan-malware-android-1
La distribuzione nel mondo di Gooligan

La distribuzione geografica di Gooligan è molto varia, a testimonianza della diffusione raggiunta, anche se più della metà degli account contagiati è concentrata nel continente asiatico, segnale per cui se non è proprio la Cina la sua terra natìa, sicuramente vi ha trovato un terreno fertile in cui attecchire viste le scarse protezioni disponibili nella regione contro le minacce informatiche e la disinformazione a riguardo, filtrata ed appositamente ostacolata dal governo cinese.

La particolarità di Googigan non si concentra unicamente nei risultati – altri malware hanno raggiunto traguardi simili – quanto piuttosto nell’architettura interna, che ricorda da vicino virus similari come Ghost Push e HummingBad da cui probabilmente deriva, dato che gli hacker hanno spesso saputo dimostrarsi molto più collaborativi dei programmatori nella distribuzione di codici sorgente da cui prendere spunto per la realizzazione di nuovi virus.

Come Gooligan attacca gli smartphone Android

Come spesso accade in casi di questo tipo, Gooligan prende principalmente di mira smartphone dotati di versioni del sistema operativo non più aggiornate o non più prioritarie nell’ottica di Google (Android KitKat 4.4 o Lollipop 5.0), che tende ad abbandonarne il supporto – ed insieme a lei, anche e soprattutto i produttori – per costringere gli utenti più tecnologicamente arretrati ad aggiornarsi ed eliminare progressivamente le versioni di Android più vulnerabili.

gooligan-malware-android-5
Come funziona Gooligan, e quali sono le sue minacce

Gooligan tende a nascondersi all’interno di applicazioni e giochi infetti che, caricati tra le sezioni di store di terze parti, attraggono l’interesse dell’utente per la propria gratuità o poichè si presentano come alternative gratuite di applicazioni normalmente a pagamento: una volta che l’app è stata scaricata nel dispositivo, questa contatta il proprio server C&C (Command and Control) di riferimento per ottenere i moduli necessari per eseguire il rooting dei device, sfruttando principalmente gli exploit VROOT (CVE-2013-6282) e Towelroot (CVE-2014-3153).

Una volta che il roooting è andato a buon fine – il tutto all’insaputa dell’utente, il quale spesso non può accedere a patch di sicurezza poichè inesistenti per la propria versione – Gooligan inietta un codice maligno all’interno del Google Play e/o di GMS (Google Mobile Services) per derubare l’utente del token d’autenticazione e dell’email utilizzata per il login sul Play Store. Così facendo Gooligan sarà in grado di scaricare applicazioni dal market ufficiale di Android simulando il comportamento dell’utente agli occhi del sistema operativo, valutando attraverso form pre-compilati app adware caricate su Google Play ed aumentandone la credibilità agli occhi dell’utenza che ne prenderà visione.

gooligan-malware-android-3
Le recensioni di Google Play

Non solo: Gooligan provvederà anche a scaricare tali applicazioni, generando introiti agli hacker sviluppatori e spesso modificherà l’IMEI e l’IMSI del dispositivo per eseguire due volte il download della stessa app, simulando la presenza di due diversi device collegati al medesimo account.

Ma il problema è ben peggiore: una volta che Gooligan ha ottenuto il token d’autorizzazione per un account Google, può accedere a tutte le app collegate al Google Account, compreso Google Drive, GMail, Google Photos, Google Docs, e molte altre suite che potrebbero contenere informazioni delicate.

Come difendersi da Gooligan

Dato che Gooligan ha attaccato solamente il 9% degli utenti Android in Europa, e dato che gli utenti più vulnerabili sono dotati di sistemi operativi poco aggiornati che progressivamente stanno scomparendo, non occorre preoccuparsi troppo nè scatenare il panico nell’utenza – nonostante non sia una minaccia da sottovalutare.

gooligan-malware-android-2
Il tasso di crescita di Gooligan

Checkpoint mette a disposizione una serie di strumenti per verificare l’infezione: primariamente, basterà accedere al sito dedicato per verificare che la propria email, collegata al relativo account Google, non sia stata infiltrata da Gooligan: qualora il responso sia tristemente positivo, il laboratorio consiglia di modificare la password ed flashare la propria ROM, ossia installare una custom ROM dopo aver eseguito una formattazione alle condizioni di fabbrica. Checkpoint ha anche stilato una classifica delle app infette che potete trovare QUI.

Hai paura che il tuo smartphone sia stato infettato? Scopri QUI tutti gli indizi che possono suggerirti un’infezione in corso!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

GugliElmo

"Blogger per passione, studente per necessità": questa è la mia carta d'identità online da sempre, anche se certe cose, col tempo, sono cambiate. Classe '95, esperto di Android e tecnologia mobile, laureato in Relazioni Internazionali, oggi frequento il master in Editoria Cartacea e Digitale (entrambi presso l'Università di Bologna); gestisco AppElmo.com dal 2013, da quando, da semplice blog, è evoluto nel web magazine che è oggi.
Potete venirmi a trovare nel mio canale Telegram, oppure scrivermi una mail a [email protected].

Potrebbe piacerti anche Dallo stesso autore
Commenti
Potrebbe interessarti anche...

Ufficiale: arrivano le Storie su Telegram

Il nuovo logo (e il nuovo nome) di AppElmo – Le App di…

TV box Android: a cosa servono, quali scegliere (e quali no)…

1 di 290
//