Gli analisti di Check Point hanno scoperto l’esistenza di una nuova minaccia per i terminali Android chiamata Gooligan , un esemplare di codice malevolo che prende di mira le versioni meno recenti del sistema operativo mobile con l’obiettivo di prenderne il controllo totale tramite rooting .
Gooligan è una nuova variante di un malware già noto come Ghost Push , scoperto a settembre 2015, e arriva sul gadget-bersaglio sotto forma di app distribuita dai link malevoli nascosti nei messaggi di phishing; la minaccia è popolare sugli store di terze parti, dicono da Check Point, ma non è escluso che possa diffondersi anche sullo store ufficiale di Google.
Se il terminale è basato su Android 4 (Jelly Bean, KitKat) o 5 (Lollipop), Gooligan è in grado di sfruttare le vulnerabilità già note per infettare l’OS a basso livello, garantendosi l’esecuzione a ogni riavvio; a quel punto il malware raccoglie i token di autenticazione presenti nel sistema e usa l’installazione di app a pagamento (dove a pagare è l’utente finale) come forma di monetizzazione immediata.
Stando ai dati forniti da Check Point , il 74 per cento dei gadget Android attualmente in uso è vulnerabile alla minaccia Gooligan: ogni giorno vengono registrate 13.000 nuove infezioni e un milione di dispositivi risulta attualmente compromesso ; sono già due milioni le app installate surrettiziamente dall’inizio della campagna, mentre particolarmente a rischio risultano essere gli account di posta riconducibili a impiegati o manager di azienda.
Check Point ha già fornito tutti i dettagli di Gooligan a Google, e da parte sua Mountain View dice di essere impegnata a controllare ogni singolo dispositivo (tramite il servizio Verify App ) avvisando gli utenti nel caso in cui fosse trovata un’infezione.
Adrian Ludwig, direttore della sicurezza di Android, ha infatti dichiarato: “Apprezziamo la collaborazione con CheckPoint e abbiamo lavorato insieme per comprendere le problematiche e intervenire su di esse. Nell’ambito dei nostri continui sforzi per proteggere gli utenti dai malware della famiglia Ghost Push, abbiamo adottato varie misure per difendere i nostri utenti e per migliorare la sicurezza dell’ecosistema Android. Tra queste: revocare i token degli account Google degli utenti colpiti, inviare loro notifiche con chiare istruzioni su come accedere nuovamente in maniera sicura, disabilitare le app legate a questo malware dai dispositivi colpiti, rendere disponibili miglioramenti attraverso Verify Apps e SafetyNet per proteggere gli utenti in futuro e collaborare con gli Internet Service Provider per eliminare questo malware insieme”.
Al momento non ci sono prove di accessi non autorizzati sugli account con i token compromessi. L’unica soluzione realmente sicura per gli utenti infetti è quella di reinstallare il sistema operativo da zero.
Alfonso Maruccia