Android è per antonomasia il sistema operativo votato alla personalizzazione più estrema ed alla semplicità applicativa. Qualsiasi funzione tu desideri, qualsiasi task tu debba svolgere c’è sempre qualche prodotto applicativo proveniente dal Google PlayStore o da fornitori di terze parti pronto a fare il lavoro da te richiesto. Una flessibilità che, come gli ultimi dati hanno stabilito, si paga a caro prezzo, coinvolgendo di fatto tutti i nostri dati e la privacy utente.
Il malware Android battezzato dai ricercatori della società di sicurezza Check Point Software Technologies come Gooligan fa proprio questo: accede ai nostri account ed ai relativi dati compromettendoli e dandoli in pasto a server di terze parti i cui scopi sono tutt’altro che leciti e rassicuranti.
Dai primi risultati della analisi sul virus Android si sa che esso si basa su una diffusione applicativa per prodotti esterni al market store ufficiale di Google e, pertanto, da Fonti Sconosciute. Precisamente sarebbero ben 86 le app Android coinvolte nella vicenda che, per diretta conseguenza, hanno infettato oltre 1 milione di device, centinaia dei quali appartenenti a membri d’elite di calibro aziendale.
Una volta installato, il software fa breccia nel sistema sfruttando una tecnica di accesso privilegiato di livello root che garantisce permessi speciali ed un totale controllo sul sistema ospite.
Sistemi che riguardano, nel loro complesso, tutti i device appartenenti alle versioni Android 4 (Ice Cream Sandwich, Jelly Bean, e KitKat) e Android 5 Lollipop in tutte le revisioni, per un totale di incidenza del 74% del parco utenza in cui rientrano, logicamente, tutti quei device che per ovvie ragioni non possono disporre di un update software che garantisca loro protezione.
I dispositivi root che scaricano ed installato detto software permettono quindi un accesso a tutti i dati dell’account utente Google tramite la sottrazione del token di autenticazione. Non viene, perciò, nemmeno a crearsi il pretesto per una sottrazione delle password necessarie all’accesso.
in un recente post, pubblicato presso il blog dela società d’indagine lo scorso Mercoledì mattina, gli interessati hanno delineato il profilo della minaccia Android affermando che nessun servizio risulta essere immune, dalla posta di Gmail ai servizi di editing e creazione dei documenti di lavoro e la sezione Google Play Music, oltre che Google Drive, tra tutti forse quello più inquietante se in mano a sconosciuti.
I ricercatori, dal blog, riferiscono che l’utente si infetta tramite app di terze parti ma anche attraverso link email dovute a tentativi di phishing e redirect su servizi e portali infetti. Dopo l’installazione l’app infetta invia i dati ad un server C&C, scaricando poi un rootkit per mascherarsi al sistema ospite, sfruttando exploit noti su device che non possono contare su aggiornamenti alle patch di sicurezza. In tale condizione, quindi, il passo per un accesso root al sistema è davvero breve.
A seguito del’insediamento del rootkit, Gooligan Android scarica un nuovo modulo dannoso dal server e lo inizializza sul device in modo da virtualizzare un accesso agli account Google che, in ultimo, permette di rubare informazioni sensibili, installare altre app dannose ed adware di ogni genere che non solo compromettono la nostra esperienza utente, ma forniscono anche un profilo completo di utilizzo in rete.
Dai dati emerge che Googligan ha particolare incidenza in Asia (40%) ed in Europa (12%) e pari rappresenti una variante del noto malware Push portato alla luce nel Settembre 2015. Le 86 app incriminate sono disponibili in elenco al sito ufficiale indicato in precedenza, mentre a questo link è possibile controllare se si è sotto attacco.
Cosa fare se si è stati infettati? Purtroppo si deve fare un reset ai dati di fabbrica, necessario per preservare e proteggere i nostri dati da futuri attacchi. Inoltre, a meno di utilizzare un altro account Google, è poi caldamente consigliato procedere ad un cambio password. Verificate se siete soggetti a infezione e riportate il vostro risultato tra i commenti.
LEGGI ANCHE: Occhio a Android.Fakebank.B, malware che minaccia conto bancario