Sotto l’albero di natale quest’anno gli utenti Android potrebbero trovare “Gooligan”. Un malware che secondo Check Point, la società di sicurezza che l’avrebbe scoperto potrebbe minacciare la sicurezza di più di 1 milione di account Google (una nuova variante del malware GhostPush), con una crescita di 13000 unità infettate ogni giorno. Il software sarebbe in grado di sbloccare i dispositivi effettuando il rooting, rubando indirizzi email, consentendo di fatto ai malintenzionati di prendere possesso e controllo di tutti i servizi Google ad essi associati, installando, poi, app a pagamento all’insaputa dell’utente. Si stima che le app installate dal virus sui dispositivi infetti siano circa 30.000 al giorno, ovvero 2 milioni in totale da quando il malware è entrato in attività ad agosto. I device colpiti o a rischio sono quelli che montano distribuzioni 4 e 5 di Android, che rappresentano ancora oggi il 74% del totale dei dispositivi in uso attualmente, il 57% dei quali si trova in Asia, mentre solo il 9% è in Europa.
Tuttavia malgrado il vero e proprio meccanismo di terrorismo mediatico e disinformazione messo in atto da alcuni siti “specializzati” e dalla stampa on-line, c’è da dire che “contrarre” Gooligan non è così semplice come sostenuto in questi giorni: Il “contagio” avviene scaricando app con codice “malevolo” da market non sicuri o in maniera diretta da link presenti nelle campagne di phishing tramite mail o banner; una volta terminato, tramite server esterni effettua il rooting del dispositivo, installando quindi i moduli necessari alla cattura l’account Google dell’utente, installare altre app, cliccare sui banner e rilasciare recensioni, per poi scaricare più volte la stessa app falsificando il codice IMEI e IMSI del telefono raddoppiando di fatto facilmente il numero di like e di recensioni, ovviamente positive.
E’ giusto però sottolineare che le vulnerabilità sfruttate dal virus per ottenere i permessi di root (tra cui le stesse sfruttate dai famosi tool Towelroot e Vroot) non sono più presenti sul sistema operativo Android fin dai tempi delle ultime versioni Lollipop (Samsung addirittura già da Kitkat) e che i principali produttori di smartphone le hanno ormai già corrette da anni, infatti le varie misure di sicurezza presenti nelle ultime versioni di Android rendono Gooligan inefficace anche grazie alla collaborazione dei vari provider inibendo e bloccando le infrastrutture sfruttate dal codice malevolo per funzionare. Pertanto se siete in possesso di una versione recente di Android o di un Samsung con tecnologia Knox è praticamente impossibile risultare infetti.
Malgrado tutte le precauzioni già prese, come è giusto che fosse, Adrian Ludwig, Director of Android Security di Google, dopo essere stato informato sulla nuova minaccia ha comunque voluto rilasciare una dichiarazione, in cui puntualizza che ha dichiarato che il suo team sta facendo di tutto per garantire la sicurezza degli utenti. Infatti, alcuni degli account colpiti, infatti, sono già stati bloccati e ripristinati sottolineando: “Abbiamo intrapreso molte azioni per proteggere i nostri utenti e migliorare la sicurezza complessiva dell’ecosistema Android, che includono: la revoca gettoni account Google colpite degli utenti, fornendo loro istruzioni chiare per accedere nuovamente in modo sicuro, eliminando le applicazioni legate a questa situazione dai dispositivi ed apportando miglioramenti per proteggere gli utenti da queste applicazioni in futuro e collaborando con gli Internet Service Provider per eliminare questo malware del tutto. Vogliamo ringraziare i team di security per il loro aiuto e l’impegno durante i nostri sforzi per combattere questa nuova minaccia e tenere gli utenti al sicuro.”
Potete verificare se anche il Vostro smartphone sia stato infettato, usando lo strumento online messo a disposizione da Check Point. In questo caso Vi invitiamo a formattare il device riportandolo alle impostazioni di fabbrica, cambiare tutte le password ed eventualmente rivolgersi ad un tecnico di fiducia per ulteriori informazioni.
