twitter androidgalaxys.net feed rss androidgalaxys.net youtube androidgalaxys.net email androidgalaxys.net

Dic 022016
 

Sta facendo molto parlare di sé in questi giorni Gooligan, un nuovo malware Android che secondo la società di sicurezza che l’avrebbe scoperto (Check Point) avrebbe infettato ben un milione di account Google, con una crescita di 13000 unità infettate ogni giorno.

Di seguito cercheremo di capire meglio di cosa si tratta visto che sia da parte di siti specializzati che quotidiani online c’è stato un po’ di terrorismo mediatico, disinformazione e in alcuni casi i rimedi proposti sono peggiori del male.

Prima di partire vi mostriamo i numeri dell’infezione forniti da Check Point, che è bene chiarire provengono da stime calcolate dalla società stessa sulla base dei dati raccolti nel corso delle loro indagini (Google non ha ancora fornito alcun numero).

gooligan-statistiche

Cosa fa Gooligan?

Lo scopo di Gooligan è soltanto quello di monetizzare, installando applicazioni (anche dal Play Store) tramite la simulazione dei click sui banner che le pubblicizzano e lasciando recensioni e voti positivi.

gooligan-recensioni

Come si rimane infetti?

L’infezione avviene scaricando app con codice alterato da market non sicuri (solitamente tutti quelli che promettono app gratis) o in maniera diretta da link presenti nelle campagne di phishing (esempio messaggi che invitano espressamente l’utente a scaricare una determinata app).

Una volta fatto questo, tramite server esterni Gooligan tenta di effettuare il root del dispositivo ed installare altri moduli in grado di catturare l’account Google dell’utente, installare altre app, cliccare sui banner e rilasciare recensioni.
Gooligan è inoltre in grado di scaricare due volte la stessa app falsificando il codice IMEI e IMSI del telefono (per raddoppiare così più facilmente il numero di click e recensioni).

gooligan-funzionamento

E’ così facile cadere vittime di Gooligan?

Cadere vittime di Gooligan non è così facile come sostenuto in questi giorni da molti siti web.
Ecco il perché.

  • Gooligan è un malware che appartiene alla famiglia dei Ghost Push (con oltre 150.000 varianti) già nota a Google dal 2014 e da cui Android è in grado di difendersi grazie al servizio integrato Verifica Applicazioni (un vero e proprio antivirus valido anche per le app installate manualmente al di fuori del Play Store).
  • Le vulnerabilità sfruttate da Gooligan per ottenere i permessi di root (tra cui le stesse sfruttate dai famosi tool Towelroot e Vroot) non sono più presenti sul sistema operativo Android fin dai tempi delle ultime versioni Lollipop, inoltre i principali produttori di smartphone le hanno ormai già corrette da anni (Samsung lo aveva già fatto addirittura da KitKat).
  • Pur possedendo uno smartphone con una vecchia versione di Android preinstallata, l’utente oltre a disabilitare o ignorare completamente il servizio Verifica Applicazioni, negli ultimi mesi deve aver scaricato da un market non sicuro almeno una delle seguenti false app:
    Perfect Cleaner
    Demo
    WiFi Enhancer
    Snake
    gla.pev.zvh
    Html5 Games
    Demm
    memory booster
    แข่งรถสุดโหด
    StopWatch
    Clear
    ballSmove_004
    Flashlight Free
    memory booste
    Touch Beauty
    Demoad
    Small Blue Point
    Battery Monitor
    清理大师
    UC Mini
    Shadow Crush
    Sex Photo
    小白点
    tub.ajy.ics
    Hip Good
    Memory Booster
    phone booster
    SettingService
    Wifi Master
    Fruit Slots
    System Booster
    Dircet Browser
    FUNNY DROPS
    Puzzle Bubble-Pet Paradise
    GPS
    Light Browser
    Clean Master
    YouTube Downloader
    KXService
    Best Wallpapers
    Smart Touch
    Light Advanced
    SmartFolder
    youtubeplayer
    Slots Mania
    Beautiful Alarm
    PronClub
    Detecting instrument
    Calculator
    GPS Speed
    Fast Cleaner
    Blue Point
    CakeSweety
    Pedometer
    Compass Lite
    Fingerprint unlock
    PornClub
    com.browser.provider
    Assistive Touch
    Sex Cademy
    OneKeyLock
    Wifi Speed Pro
    Minibooster
    com.so.itouch
    loudcallernameringtone
    Kiss Browser
    Weather
    Chrono Marker
    Multifunction Flashlight
    So Hot
    Google
    HotH5Games
    Swamm Browser
    Billiards
    TcashDemo
    Sexy hot wallpaper
    Wifi Accelerate
    Simple Calculator
    Daily Racing
    Talking Tom 3
    com.example.ddeo
    Test
    Hot Photo
    QPlay
    Virtual
    Music Cloud

    Per le sue caratteristiche (l’aver bisogno dei permessi di root) Gooligan non risulta più efficace con la reinstallazione di un firmware o l’installazione di un aggiornamento di sistema.

Cosa dice Google?

Google per mezzo di Adrian Ludwig, responsabile della sicurezza della piattaforma Android, ha fatto sapere di aver già avviato da settimane le dovute indagini con la società Check Point. E per ora:

  • a parte l’installazione di app effettuate dai Ghost Push già prontamente rimosse (comprese quelle sul Play Store che hanno ricevuto dei benefici, come esempio false recensioni), negli account compromessi non sono state trovate altre tracce di attività fraudolente
  • l’unico scopo di Gooligan è stato quello di installare app e non rubare informazioni o dati sensibili 
  • le varie misure di sicurezza presenti nelle ultime versioni di Android impediscono a Gooligan di essere efficace
  • le infrastrutture sfruttate da Gooligan per funzionare (es. server da cui venivano scaricati i moduli) sono già state bloccate con la collaborazione dei vari provider

Come faccio sapere se nel mio telefono è presente Gooligan?

Se avete letto tutti i vari punti del nostro articolo avrete già capito che Gooligan non è poi un malware così pericoloso e che se siete in possesso di una recente versione Android o di un Samsung Galaxy con la tecnologia Knox è impossibile risultare infetti.

Check Point sul proprio sito ha messo a disposizione un tool che tramite l’immissione dell’indirizzo email dell’account Google permette di controllare se questo è stato violato.

gooligan-checker

Ma inserire un qualsiasi dato in uno di questi tool, seppur creati da una società ritenuta affidabile, non è però da ritenersi una buona regola di sicurezza e pertanto sconsigliamo di farlo.

Google conosce tutti gli account infetti e ha già provveduto a revocare i token e avvisare i rispettivi proprietari. Quindi se non avete ricevuto alcuna comunicazione potete stare tranquilli.

Se siete comunque preoccupati da questo genere di malware vi consigliamo di cambiare in maniera periodica la password dei vostri account, una regola che dovrebbe essere adottata in tutte le occasioni.

Per maggiori informazioni vi invitiamo a leggere il comunicato di Adrian Ludwig, di cui vi riportiamo di seguito il riepilogo finale.

We’ve taken many actions to protect our users and improve the security of the Android ecosystem overall. These include: revoking affected users’ Google Account tokens, providing them with clear instructions to sign back in securely, removing apps related to this issue from affected devices, deploying enduring Verify Apps improvements to protect users from these apps in the future and collaborating with ISPs to eliminate this malware altogether.

This was a team effort within Google, across the Android security, Google Accounts, and the Counter-Abuse Technology teams. It also required close coordination with research firms, OEMs, and hosting companies. We want to thank those teams for their assistance and commitment during our ongoing efforts to fight Ghost Push and keep users safe.

Insomma, mai come in questa circostanza Google si è dimostrata ineccepibile sul profilo della sicurezza della piattaforma Android.

  • Root Cool

    Finalmente un articolo chiaro ed esaustivo! Bravi!

  • MattiaG

    Finalmente un articolo esaustivo che spiega le cose come stanno! Tutti a fare allarmismo solo per racimolare qualche visualizzazione in più. Davvero complimenti a questo blog.

  • Ma551m0

    Grandi ed esaustivi come sempre!

  • Gianni

    Bravi!!! come sempre 😉

  • mimmo

    Aspettavo il vostro articolo! Mi spiace vedere come siti tecnologici italiani scendano sempre più in basso eppure era tutto scritto sia sul sito di check point che nel post di Adrian.
    E complimenti anche a Google, questa volta se li merita!

  • Secondo me sti allarmismi vengono creati da fan della Mela per vedere se rialzano le vendite di iPhono XD

  • Nippojin

    Un solo sito vi supera a dare le giuste “notizie”:Androidgalaxys.net 😂

  • emiliano

    Prof. sempre il numero 1!!