Gooligan Android malware: controlla se il tuo dispositivo è infetto

Oltre un milione di dispositivi sono già stati colpiti da un malware Android chiamato Gooligan, che compromette i dati dell'account Google su questi dispositivi, offrendo all'aggressore l'accesso a Gmail, Google Foto, Google Documenti, Google Play, Google Drive e altre applicazioni correlate di Google.

Secondo i ricercatori di Check Point Software Technologies, una società di sicurezza con sede in Israele, questo malware è stato trovato in 86 app sui mercati di terze parti.

Il malware Gooligan ha infettato più di un milione di dispositivi negli ultimi mesi e 13.000 nuovi dispositivi vengono infettati ogni giorno.

Una volta che un utente scarica una di queste app, il malware attacca il dispositivo e ottiene l'accesso di sistema al dispositivo, consentendo all'autore dell'attacco di phishing delle credenziali degli account Google dell'utente.

I dispositivi che eseguono Android 4 (Ice Cream Sandwich, Jellybean e KitKat) di Google e Android 5 (Lollipop), che rappresentano il 74 percento degli utenti Android totali, minacciano di essere colpiti da Gooligan.

"Abbiamo revocato i token dell'account Google degli utenti interessati, fornendo loro chiare istruzioni per accedere in modo sicuro, rimuovendo le app relative a questo problema dai dispositivi interessati, implementando miglioramenti permanenti di Verify Apps per proteggere gli utenti da queste app in futuro e collaborando con Gli ISP per eliminare del tutto questo malware ", ha dichiarato Adrian Ludwig, direttore della sicurezza di Google in un post.

Controlla se il tuo dispositivo è infetto

Se hai scaricato app dall'esterno del Google Play Store ufficiale, dovresti accedere al gateway Check Point Software Technologies. È facile, basta inserire il tuo ID e-mail collegato al tuo dispositivo Android e ti darà immediatamente un feedback.

Il 57% del totale dei dispositivi infetti si trova in Asia, il 19% nelle Americhe, il 15% in Africa e il 9% in Europa.

Se desideri identificare personalmente se non hai scaricato alcuna app infetta da Gooligan, controlla l'elenco delle app che trasportano il malware ed eliminale il prima possibile per evitare ulteriori danni.

Se il tuo dispositivo è infetto, richiederà il "flashing" - un'installazione pulita del sistema operativo.

Si tratta di un processo complesso e si consiglia di spegnere il dispositivo, portarlo da un tecnico qualificato e richiedere che il dispositivo venga "riprogrammato".

Al termine del "re-flashing", dovrai modificare le password del tuo account Google. Si consiglia di non utilizzare marketplace di terze parti per scaricare l'app Android in quanto tale app può rappresentare una potenziale minaccia per il proprio dispositivo.

In che modo Gooligan influenza il tuo dispositivo

Secondo i risultati dei ricercatori di Check Point Software Technology, “dopo aver ottenuto l'accesso come root, Gooligan scarica un nuovo modulo dannoso dal server C&C e lo installa sul dispositivo infetto. Questo modulo inserisce il codice nell'esecuzione di Google Play o GMS (Google Mobile Services) per imitare il comportamento degli utenti in modo che Gooligan possa evitare il rilevamento. ”

Il modulo consente a Gooligan di:

• Ruba l'account e-mail Google dell'utente e le informazioni sul token di autenticazione
• Installa app da Google Play e votale per aumentare la loro reputazione
• Installa adware per generare entrate

"Soprannominata" Gooligan ", questa variante utilizzava le credenziali di Google su versioni precedenti di Android per generare installazioni fraudolente di altre app", ha aggiunto Adrian Ludwig.

Fondamentalmente, l'attaccante può accedere e utilizzare gli account Google di un dispositivo infetto dopo aver ottenuto l'accesso root al dispositivo utilizzando malware Gooligan. Fai attenzione ai mercati di terze parti poiché non sono verificati da Google prima di scaricarlo, come accade su Google Play, e potrebbero contenere altri malware se non Gooligan.