Alfonso Maruccia

Gooligan, il rooting malevolo di Android

I ricercatori identificano una nuova minaccia alla sicurezza di Android, tramite la quale i criminali possono rubare le credenziali di autenticazione degli utenti. Sono già un milione i device compromessi e il numero è destinato a crescere

Gooligan, il rooting malevolo di AndroidRoma - Gli analisti di Check Point hanno scoperto l'esistenza di una nuova minaccia per i terminali Android chiamata Gooligan, un esemplare di codice malevolo che prende di mira le versioni meno recenti del sistema operativo mobile con l'obiettivo di prenderne il controllo totale tramite rooting.

Gooligan è una nuova variante di un malware già noto come Ghost Push, scoperto a settembre 2015, e arriva sul gadget-bersaglio sotto forma di app distribuita dai link malevoli nascosti nei messaggi di phishing; la minaccia è popolare sugli store di terze parti, dicono da Check Point, ma non è escluso che possa diffondersi anche sullo store ufficiale di Google.

Se il terminale è basato su Android 4 (Jelly Bean, KitKat) o 5 (Lollipop), Gooligan è in grado di sfruttare le vulnerabilità già note per infettare l'OS a basso livello, garantendosi l'esecuzione a ogni riavvio; a quel punto il malware raccoglie i token di autenticazione presenti nel sistema e usa l'installazione di app a pagamento (dove a pagare è l'utente finale) come forma di monetizzazione immediata.
Stando ai dati forniti da Check Point, il 74 per cento dei gadget Android attualmente in uso è vulnerabile alla minaccia Gooligan: ogni giorno vengono registrate 13.000 nuove infezioni e un milione di dispositivi risulta attualmente compromesso; sono già due milioni le app installate surrettiziamente dall'inizio della campagna, mentre particolarmente a rischio risultano essere gli account di posta riconducibili a impiegati o manager di azienda.

Check Point ha già fornito tutti i dettagli di Gooligan a Google, e da parte sua Mountain View dice di essere impegnata a controllare ogni singolo dispositivo (tramite il servizio Verify App) avvisando gli utenti nel caso in cui fosse trovata un'infezione.
Adrian Ludwig, direttore della sicurezza di Android, ha infatti dichiarato: "Apprezziamo la collaborazione con CheckPoint e abbiamo lavorato insieme per comprendere le problematiche e intervenire su di esse. Nell'ambito dei nostri continui sforzi per proteggere gli utenti dai malware della famiglia Ghost Push, abbiamo adottato varie misure per difendere i nostri utenti e per migliorare la sicurezza dell'ecosistema Android. Tra queste: revocare i token degli account Google degli utenti colpiti, inviare loro notifiche con chiare istruzioni su come accedere nuovamente in maniera sicura, disabilitare le app legate a questo malware dai dispositivi colpiti, rendere disponibili miglioramenti attraverso Verify Apps e SafetyNet per proteggere gli utenti in futuro e collaborare con gli Internet Service Provider per eliminare questo malware insieme".

Al momento non ci sono prove di accessi non autorizzati sugli account con i token compromessi. L'unica soluzione realmente sicura per gli utenti infetti è quella di reinstallare il sistema operativo da zero.

Alfonso Maruccia
Notizie collegate
136 Commenti alla Notizia Gooligan, il rooting malevolo di Android
Ordina
  • pinuccio è andato in piemonte, alle sorgenti del po, ha mangiato polenta e camoscio e poi ha sganciato un enorme tronco nelle acque del fiume. pinuccio ha messo un gps sulla portaerei marrone e la sta tracciando. è quasi in veneto, pinuccio è già nel polesine che attende l'arrivo trionfale del suo paracarro!
    non+autenticato
  • ma non ti levi dal ca**o? i cantinari pezzenti almeno sono simpatici, tu fai proprio schifo.
    non+autenticato
  • Perché non polenta e finferli?
    non+autenticato
  • - Scritto da: ...
    > Perché non polenta e finferli?
    Perché non è stagione, di finferli ovviamenteOcchiolino
    non+autenticato
  • - Scritto da: Zack
    > - Scritto da: ...
    > > Perché non polenta e finferli?
    > Perché non è stagione, di finferli ovviamenteOcchiolino
    Ma a quanto pare è stagione di stronzi tra te pinuccio e biagio fate un unica merda.
    non+autenticato
  • Io direi che "criminale" è il sistema assolutamente disorganizzato creato da google per il suo umanoide.
    Grazie a questo insulso sistema, gli altri criminali hanno gioco facile.
    Ma ora google, lucrando addirittura sui suoi stessi errori (se di errori si tratta, e non di peggio) sfornerà un bel nuovo sistema operativo chiuso, più stabile, più aggiornato, più sicuro, più pagato direttamente o con pubblicità e, ovviamente, profilatura...
    Grande.
    non+autenticato
  • che tradotto in italiano :
    "Ma ora google, lucrando addirittura sui suoi stessi errori (se di errori si tratta, e non di peggio) sfornerà un bel nuovo sistema operativo chiuso, più stabile, più aggiornato, più sicuro, più pagato direttamente o con pubblicità e, ovviamente, profilatura..."
    Significherebbe?
    non+autenticato
  • invece di lamentarti comprati un iphone.
    non+autenticato
  • - Scritto da: 666
    > invece di lamentarti comprati un iphone.
    Questo lo danno gratis o si paga?
    http://www.hwupgrade.it/news/apple/un-bug-permette...
    non+autenticato
  • Usate qualche anti virus/malware su android? (free o non free)

    C'è qualcosa di migliore o paragonabile a Kaspersky?
  • - Scritto da: seven
    > Usate qualche anti virus/malware su android?
    > (free o non
    > free)
    >
    > C'è qualcosa di migliore o paragonabile a
    > Kaspersky?

    Per info io Karpesky non lo uso da una vita, cmq per Android io uso il free della Eset (Nod32 per PC, il top a pagamento), mentre per PC ora uso il 360 total security con il secondo engine della Bitdefender attivo (così configurato ha raggiunto la vetta nei test degli antivirus, anche se cinese fidati è un ottimo prodotto ed hanno appena acquistato il browser Opera).
    non+autenticato
  • - Scritto da: Mao99

    > Per info io Karpesky non lo uso da una vita, cmq
    > per Android io uso il free della Eset (Nod32 per
    > PC, il top a pagamento),
    Come ho scritto nell'altro post, se non hai il terminale rootato, l'AV è solo uno spreco di batteria...

    > mentre per PC ora uso il
    > 360 total security con il secondo engine della
    > Bitdefender attivo (così configurato ha raggiunto
    > la vetta nei test degli antivirus, anche se
    > cinese fidati è un ottimo prodotto ed hanno
    > appena acquistato il browser
    > Opera).
    Anche io sul PC Winzozz al lavoro uso l'ottimo Bitdefender, che però è romeno, non cinese...
    non+autenticato
  • - Scritto da: seven
    > Usate qualche anti virus/malware su android?
    > (free o non
    > free)

    No. Se non hai il terminale rootato e non usi un AV con funzioni specifiche per il root (come Avast) non ha senso usarlo. Infatti, senza root, i permessi a disposizione sono limitati e l'AV non può ad esempio scansionare le app di sistema. Gli store come Google, Amazon e F-Droid hanno già dei sistemi di scansione che analizzano le app quando vengono pubblicate.
    non+autenticato
  • - Scritto da: mela marcia
    > No. Se non hai il terminale rootato e non usi un
    > AV con funzioni specifiche per il root (come
    > Avast) non ha senso usarlo. Infatti, senza root,
    > i permessi a disposizione sono limitati e l'AV
    > non può ad esempio scansionare le app di sistema.

    Ho installato Kaspersky e ha messo 3 oggetti in quarantena.
  • Li che non significa nulla se non sai cosa sono e che funzioni hanno e a quali applicazioni fanno riferimento (provenienza compresa).
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    > Li che non significa nulla se non sai cosa sono e
    > che funzioni hanno e a quali applicazioni fanno
    > riferimento (provenienza
    > compresa).

    non ho capito cosa mi vuoi dire

    sostieni anche tu che un antivirus senza root sia inutile, e quindi salvo prova contraria ritieni che gli oggetti messi in quarantena non siano dannosi?
  • Gli oggetti messi in quarantena cosa sono? Immagini? PDF? Eseguibili Windows? Cosa?

    Diciamo che se non hai rootato, l'AV può scansionare poco, ad esempio se scarichi un eseguibile Windows infetto se ne accorge, ma se un malware si installa come app di sistema, sfruttando qualche falla, non può accorgersene (e magari non se ne accorgerebbe neppure girando come root).

    IMHO su Android l'AV è inutile...
    non+autenticato
  • - Scritto da: mela marcia
    > Gli oggetti messi in quarantena cosa sono?
    > Immagini? PDF? Eseguibili Windows?
    > Cosa?

    ad esempio:
    .com.google.Chrome.1Frn3E
    in /storage/emulated/legacy/Download
    rilevato come Trojan-Ransom.AndroidOS.Fusob.h
  • Potrebbe essere un falso positivo... Il file è un temporaneo creato da Chrome (si vede dall'estensione random), dove Chrome accoda i byte che riceve dalla rete. Essendo quindi un file incompleto, magari l'AV ha trovato una sequenza di byte simile a quella di un virus e te l'ha segnalato.

    O magari è davvero un ransomware, in tal caso devi fare attenzione ai siti che visiti e a cosa scarichi perché l'AV non può sempre proteggerti...
    non+autenticato
  • - Scritto da: mela marcia
    > Potrebbe essere un falso positivo... Il file è un
    > temporaneo creato da Chrome (si vede
    > dall'estensione random), dove Chrome accoda i
    > byte che riceve dalla rete. Essendo quindi un
    > file incompleto, magari l'AV ha trovato una
    > sequenza di byte simile a quella di un virus e te
    > l'ha
    > segnalato.

    Grazie mille!
  • Utenti apple sommersi dallo spam. La causa: con il solo indirizzo email del macaco (sulle porte dei cessi pubblici è pieno) è possibile aggiungere eventi sul SUO calendar... miiiiiiinchia l' incompetenza del closed sorcio.

    https://www.bleepingcomputer.com/news/apple/apple-.../

    I primi sistemi per mitigare il problema vengono da, udite udite Reddit e StackExchange. Ovviamente apple si scusa AKA se ne sbatte il c*.
    non+autenticato
  • Server: Microsoft-IIS/6.0

    Il fiore all' occhiello dei server web closed source, devi dargli una mano altrimenti non va Anonimo.

    http://tinyurl.com/hghtmjf
    non+autenticato
  • Come al solito è diffidare del software proprietario.
    https://f-droid.org/

    Di conseguenza, evitare repo di terze parti come quello di Google.
    Shiba
    3826
  • Quoto in pieno, i repo F-Droid sono sicuri, e scaricare "la qualunque" app dal Play store di Google non è così sicuro e nemmeno necessario: molti servizi sono raggiungibili via browser, senza app specifica.
    Però fare a meno di app come Maps o Gmail è dura.
    non+autenticato
  • - Scritto da: rico

    > Però fare a meno di app come Maps o Gmail è dura.
    Ammesso (non concesso) che "sia dura" non si capisce il nesso con l'articolo dato che le trovi gratis sul play store ufficiale.
    non+autenticato
  • - Scritto da: rico
    > Però fare a meno di app come Maps o Gmail è dura.

    Puoi usare (e contribuire) a OpenStreetMap. Gmail è irrilevante, un servizio vale l'altro.
    Shiba
    3826
  • - Scritto da: Shiba
    > - Scritto da: rico
    > > Però fare a meno di app come Maps o Gmail è
    > dura.
    >
    > Puoi usare (e contribuire) a OpenStreetMap. Gmail
    > è irrilevante, un servizio vale
    > l'altro.
    Senza contare che è accedibile via normale browser il servizio.
    non+autenticato
  • - Scritto da: Shiba
    > - Scritto da: rico
    > > Però fare a meno di app come Maps o Gmail è
    > dura.
    >
    > Puoi usare (e contribuire) a OpenStreetMap.
    Perché contribuire quando ci sono già un sacco di fessi che lo fanno?A bocca aperta
    non+autenticato
  • - Scritto da: Hop

    > Perché contribuire quando ci sono già un sacco di
    > fessi che lo fanno?
    >A bocca aperta
    Perchè solo i fessi pensano che la libertà di scegliere te la regala (gratis o a pagamento) una multinazionale che notoriamente non è ne una onlus ne un convento di orsoline.
    E uno che pensi solo a sfruttare il lavoro altrui senza restituire nulla in cambio (in proporzione alle proprie possibilità e competenze) è "un povero pezzente nell'anima"
    Contento?
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    > E uno che pensi solo a sfruttare il lavoro altrui
    > senza restituire nulla in cambio (in proporzione
    > alle proprie possibilità e competenze) è "un
    > povero pezzente
    > nell'anima"
    Bello questo autoritratto...A bocca aperta
    non+autenticato
  • - Scritto da: Hop

    > Bello questo autoritratto...A bocca aperta
    Non c'è nulla di "auto" è il tuo ritratto e la ovvia risposta alla domanda di un autentico pezzente.
    non+autenticato
  • - Scritto da: Hop
    > - Scritto da: Shiba
    > > - Scritto da: rico
    > > > Però fare a meno di app come Maps o
    > Gmail
    > è
    > > dura.
    > >
    > > Puoi usare (e contribuire) a OpenStreetMap.
    > Perché contribuire quando ci sono già un sacco di
    > fessi che lo fanno?A bocca aperta

    Per smettere di fare schifo nella vita?
    Shiba
    3826
  • - Scritto da: Shiba
    > Come al solito è diffidare del software
    > proprietario.
    > https://f-droid.org/
    >
    > Di conseguenza, evitare repo di terze parti come
    > quello di
    > Google.

    Terze parti? Ci stai dicendo che il repository del produttore del sistema operativo non è affidabile? Niente male.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 16 discussioni)