3824 Letture

Un malware fa il rooting di Android e ruba i dati personali

È stato battezzato Gooligan e ad oggi - stando all'analisi appena pubblicata dagli esperti di Check Point - avrebbe già violato oltre un milione di account Google appartenenti ad altrettanti utenti.
Si tratta di un nuovo malware che prende di mira i dispositivi Android e, una volta eseguito, provvede a scaricare un kit per il rooting del dispositivo.
Il malware riesce cioè ad acquisire i diritti di root sul dispositivo Android sfruttando alcune vulnerabilità note del sistema operativo.

Un malware fa il rooting di Android e ruba i dati personali

Tali lacune di sicurezza - battezzate con gli appellativi VROOT (CVE-2013-6282) e Towelroot (CVE-2014-3153) - sono ormai piuttosto note ma continuano a restare irrisolte su un numero enorme di dispositivi Android perché le patch non sono state installate dagli utenti o, nella maggior parte dei casi, perché i produttori non le hanno rilasciate affatto.


Potenziali bersagli di Gooligan sono i possessori di un dispositivo Android 4 (Jelly Bean e KitKat) e Android 5 (Lollipop). Il consiglio è quindi quello di passare prima possibile ad Android 6.0 Marshmallow valutando eventualmente l'installazione di ROM non ufficiali ma ormai regolarmente sviluppate dalla comunità.

Un malware fa il rooting di Android e ruba i dati personali

Per cadere nelle maglie di Gooligan basta scaricare alcune applicazioni che paiono legittime, almeno all'apparenza, ma che sono invece in grado di prelevare ed eseguire il codice malware.

Una volta in esecuzione Gooligan, previa acquisizione dei diritti di root, installa una serie di componenti tra cui un server C&C (Command and Control) che consente ai criminali informatici di controllare da remoto tutti i device infettati.


Gooligan acquisisce poi l'indirizzo email dell'utente corrispondente al suo account Google e sottrae il token autorizzativo per interagire con tale account.
Così il malware può accedere alle impostazioni di Google Play, al contenuto di Gmail, Google Foto, Drive, G Suite e così via facendo razzìa delle informazioni personali degli utenti.

Il malware provvede quindi a installare applicazioni aggiuntive dal Play Store e a pubblicare automaticamente una valutazione positiva così da migliorarne la reputazione.
Infine, Gooligan installa anche alcuni adware per inviare denaro nelle casse degli aggressori.

Falsificando dati come IMEI e IMSI, viene spesso disposta l'installazione di più "copie" delle stesse app con lo scopo di incrementare ulteriormente i guadagni.

La minaccia è concreta: Check Point ha rilevato che le infezioni crescono al ritmo di circa 13.000 al giorno e il trend è in aumento.

Una lista delle app contenenti il codice malware di Gooligan è pubblicata nell'analisi di Check Point, a questo indirizzo.
Per consultare l'elenco, è sufficiente scorrere la pagina fino al paragrafo Appendix A: List of fake apps infected by Gooligan.

Per verificare se il proprio account Google fosse stato oggetto di attacco, è possibile inserirlo in questa pagina preparata dai tecnici di Check Point.

  1. Avatar
    allmaster
    11/12/2016 11:15:55
    ma quindi se fa il root ti decade anche la garanzia? inoltre MM è immune o lo è solo dopo un certo livello di patch di sicurezza?
  2. Avatar
    terraneanroots
    02/12/2016 20:35:03
    (Buona sera) Un disastro. Le mie impressioni,osservazioni: 1° leggo : Il consiglio è quindi quello di passare prima possibile ad Android 6.0 Marshmallow valutando eventualmente l'installazione di ROM non ufficiali ecc ecc Il consiglio di chi .. :idea: Perchè al di la .... . di tutto ho l'impressione che è una forzatura ben congegnata ,ma proprio gagliarda questa volta . Fermo restando che c'è gente che usa ancora vecchie versioni di Android . Non si capisce perchè un cellulare di *18 mesi (*mi mantengo sulla media) deve essere considerato da cambiare. Ah già devono monetizzare . . 2° il fatto che le patch non sono state installate dagli utenti o, nella maggior parte dei casi, perché i produttori non le hanno rilasciate affatto. mi sta facendo pensare,valutare il da farsi . Per esempio .. Per quello che mi riguarda devo trovare il metodo di non fare arrivare nelle casse di alcuni costruttori nemmeno più un centesimo visto che di fatto ,una volta che hanno incassato i bei soldini ,se ne fregano di rilasciare le patch ,almeno quelle inerenti alla sicurezza dei dati . {posso capire che non si vuol 'perdere' tempo ad aggiornare telefoni di 5 anni o più ma non accetto il compromesso di essere obbligato a due opzioni: scegliere se far rimanere i miei dati vulnerabili al malware di turno o sborsare per acquistare un nuovo telefono. Il telefono nuovo lo compro quando dico io o quando si è fatto vecchio: non quando mi obblighi "tu" :!: :idea: 3° Per cadere nelle maglie di Gooligan basta scaricare alcune applicazioni che paiono legittime Ma dico scherziamo? Ma il Google Play è e vuole essere una cosa seria oppure cosa ? 4° Una lista delle app contenenti il codice malware di Gooligan è pubblicata nell'analisi di Check Point Sebbene non ho nessuna di queste app installate ,noto però che ce ne sono molte conosciutissime e che trovo installate su molti device : YouTube Downloader Clean Master Google (non ho capito a cosa si riferisce :confuso: ) ecc ecc ... . Se la matematica non è un opinione 'mi stanno passando davanti agli occhi' migliaia e ,migliaia di telefoni infetti ......e non da un malware qualsiasi,questo esegue addirittura il Root ..
  3. Avatar
    Fabietto82
    02/12/2016 09:44:10
    Nell'articolo c'è un refuso: per essere infettati, le applicazioni devono essere scaricare da uno store di terze parti, quindi NON da Google Play Store!
  4. Avatar
    Mao99
    01/12/2016 11:10:58
    Ma il play store non ha antivirus & co che fanno analisi continue? Spero che Eset Antivirus faccia bene il suo dovere e spero che il mio carissimo compagno S3 duri ancora molti anni (prega).
Un malware fa il rooting di Android e ruba i dati personali - IlSoftware.it