Gooligan, il malware per Android ha infettato più di 1 milione di dispositivi

I ricercatori dell'azienda di sicurezza Check Point hanno scoperto una nuova variante di malware Android preoccupante soprattutto per il volume di dispositivi già coinvolti. Secondo i dati rilasciati dalla società ogni giorno vengono infettati 13 mila dispositivi, su cui vengono sbloccati i permessi di root e rubati indirizzi e-mail e token di autenticazione in essi custoditi. In possesso di queste informazioni gli hacker possono accedere alle informazioni sensibili contenute negli account Gmail, Google Foto, Google Docs, Google Play, Google Drive e G Suite.

Ad oggi Check Point ha contato più di un milione di account vittime di Gooligan, cifra che ha definito "inquietante". Michael Shaulov, head of mobile products di Check Point, ha sottolineato il cambio di strategia da parte dei cybercriminali che dal desktop hanno iniziato ad intuire le potenzialità del furto di dati da mobile: "Abbiamo notato che gli hacker stanno cambiando strategia", sono state le sue parole. "Adesso prendono di mira i dispositivi mobile, per appropriarsi così dei dati sensibili custoditi in essi".

Come scritto poco sopra Gooligan infetta ogni giorno 13 mila dispositivi e ha effettuato il rooting di più di un milione di smartphone Android. È efficace contro il 74% dei dispositivi attualmente in uso con le versioni 4 e 5 (Jelly Bean, KitKat e Lollipop) del sistema operativo di Google. Dopo aver conquistato i permessi più profondi gli hacker riescono inoltre a generare introiti con l'installazione illecita di app da Google Play, facendole pagare alla vittima. Il malware è capace di installare almeno 30 mila app al giorno sui dispositivi infetti, per un totale di 2 milioni di app fino ad oggi.

Google è già stata informata del caso: "Apprezziamo il contributo di Check Point e abbiamo collaborato per capire fino in fondo e affrontare questo problema", ha dichiarato Adrian Ludwig, director of Android security di Google. "Come parte del nostro costante impegno per difendere gli utenti dalla variante di malware Ghost Push, abbiamo compiuto numerosi passi per difenderli e migliorare la sicurezza generale dell'ecosistema Android". Fra questi passi c'è la revoca dei token degli account infetti e l'eliminazione delle app colpite su Google Play, anche se Gooligan è stato rintracciato soprattutto su app scaricabili da store di terze parti.

Circa il 57% dei dispositivi colpiti si trova in Asia, mentre solamente il 9% è in Europa. Centinaia degli account violati o a rischio sono associati ad e-mail aziendali con l'infezione che inizia a propagarsi proprio nel momento in cui viene scaricata e installata un'app infetta, oppure si clicca su un link malevolo contenuto in un messaggio di phishing. Check Point ha messo a disposizione degli utenti un tool gratuito (a questo indirizzo) con il quale è possibile controllare se il proprio account sia stato violato. Nel caso in cui fosse violato è estremamente consigliato eseguire il "re-flashing" di un'installazione pulita del sistema operativo.