Finanza & Mercati

Violati oltre 1 milione di account Google attraverso app Android

Sicurezza informatica

Violati oltre 1 milione di account Google attraverso app Android

Oltre un milione di account di Google sono stati violati da un malware chiamato Gooligan, che si insinua negli smartphone Android attraverso decine di app e che continua a impossessarsi delle chiavi di accesso ai profili al ritmo di 13mila al giorno. L’allarme viene da Check Point Software Technolgies, società che si occupa di sicurezza informatica. Gooligan è una nuova variante della campagna di attacco malware su dispositivi Android scoperta l'anno scorso da Check Point sull’app SnapPea.

Sono potenzialmente vulnerabili da Gooligan gli apparecchi che utilizzano Android 4 (Jelly Bean, KitKat) e 5 (Lollipop), programmi installati sul 74% dei dispositivi mobili oggi sul mercato globale. Limitatamente all’Europa, la percentuale è del 12%, mentre la porzione più grande, il 40%, si trova in Asia. Degli account violati, il 9% sono europei, il 19% americani, il 17% africani e il 57% asiatici. L’infezione inizia quando l'utente scarica e installa sul suo dispositivo Android un’applicazione in cui si annida Gooligan. Secondo Check Point, in alcuni app stores fino a un terzo delle applicazioni nascondono la minaccia Gooligan, che però viaggia anche su appositi link inseriti in messaggi di phishing.

Quando l’applicazione 'ospite' viene installata, trasmette al server di controllo di Gooligan, attraverso lo stesso dispositivo, i dati degli account. Sono decine le applicazioni portatrici del malware individuate da Check Point. Tra queste, Perfect Cleaner, Snake, Flashlight Free, Small Blue Point, Battery Monitor, Shadow Crush, Memory Booster, SettingService, Wifi Master, Fruit Slots (l'elenco completo si può trovare sul blog Checkpoint ). Oltre a rubare le credenziali di accesso a un account Google, il malware Gooligan autoinstalla applicazioni di Google Play e le valuta in modo da aumentarne il rating. Inoltre, autoinstalla programmi che lanciano spot pubblicitari quando si utilizza un'applicazione.

Check Point sta lavorando in collaborazione con Google per debellare Gooligan, e riporta sul proprio sito una dichiarazione di Adrian Ludwig, direttore di Google per la sicurezza di Android: «Apprezziamo tanto la ricerca di Check Point quanto la sua collaborazione, e stiamo lavorando insieme per risolvere il problema. Nell'ambito dei nostri continui sforzi per proteggere gli utenti dai malware della famiglia Ghost Push, abbiamo adottato varie misure per difendere gli utenti e per migliorare complessivamente la sicurezza nell'ambiente Android».

Per liberarsi di Gooligan occorre reinstallare Android. Ovviamente, se si scopre di avere sullo smartphone o sul tablet una delle app infettate da Gooligan, la prima cosa da fare è cambiare la password dell’account di Google.

Come funziona il malware
Dopo aver conquistato il controllo totale del dispositivo, gli hacker generano introiti con l'installazione illecita di app da Google Play, facendole pagare alla vittima. Gooligan ogni giorno installa almeno 30mila app sui dispositivi che colpisce, ovvero più di 2 milioni di app dall'inizio della campagna.

Secondo i dati diffusi da Check Point, il malware ogni giorno infetta 13.000 dispositivi, ead oggi ha effettuato il rooting di più di un milione di dispositivi. Uno dei dati che preoccupano è che centinaia di indirizzi email in tutto il mondo sono associati ad account aziendali.

Il team Mobile Research di Check Point ha scoperto il codice di Gooligan per la prima volta nell'app malevola SnapPea, nel 2015. Lo scorso agosto, il malware è riapparso sotto forma di una variante nuova, e da quel momento ha infettato almeno 13mila dispositivi al giorno. Circa il 57% di questi dispositivi si trova in Asia, mentre il 9% circa è in Europa. Centinaia degli indirizzi email a rischio in tutto il mondo sono associati ad email aziendali. L'infezione inizia a propagarsi nel momento in cui un utente scarica e installa un'app infettata da Gooligan su un dispositivo Android vulnerabile, oppure clicca un link malevolo contenuto in un messaggio di phishing.

© Riproduzione riservata