I ricercatori di sicurezza hanno identificato una nuova campagna di malware, denominata Gooligan, mirata alla compromissione degli account Google degli utenti di dispositivi mobili equipaggiati col sistema operativo Android.
Il malware legato a questa campagna è stato individuato in decine di app, apparentemente legittime, disponibili per il download su store Android non ufficiali (vedere elenco allegato). Le app infette possono essere distribuite anche mediante scaricamento diretto da link malevoli inseriti in messaggi SMS o di altre app di messaggistica istantanea.
Una volta che una app contenente il malware viene installata e lanciata su un dispositivo Android, viene instaurato un canale di comunicazione con un server C&C al quale vengono inviate alcune informazioni tecniche sul sistema. Successivamente, Gooligan scarica dal server un rootkit che sfrutta diversi exploit per le versioni di Android 4 (Jelly Bean e KitKat) e 5 (Lollipop), che costituiscono ancora complessivamente più del 70% del totale dei sistemi Android installati. Anche se questi exploit, tra i quali VROOT (CVE-2013-6282) e Towelroot (CVE-2014-3153), sono noti da tempo (il primo risale ad ottobre 2013), molti dispositivi attualmente in uso risultano ancora vulnerabili in quanto non sono stati aggiornati con le relative patch di sicurezza.
Una volta ottenuti i privilegi di root sul sistema, e quindi il controllo completo del dispositivo, Gooligan scarica e installa dal server C&C un secondo modulo malevolo in grado di iniettare codice nei processi in esecuzione relativi a Google Play e Google Mobile Services, allo scopo di simulare il comportamento dell’utente ed evitare di essere individuato, con una tecnica simile a quella già vista nel trojan HummingBad. Questo modulo consente a Gooligan di eseguire le seguenti azioni malevole:
• catturare informazioni sull’account Google dell’utente e sul token di autorizzazione utilizzato dai servizi Google in esecuzione sul sistema;
• installare app arbitrarie da Google Play e assegnare loro valutazioni elevate in modo da aumentarne fittiziamente la reputazione;
• installare adware allo scopo di generare profitto.
In maniera analoga al trojan HummingBad, questo malware è in grado di falsificare alcuni dati identificativi del dispositivo, tra cui i codici IMEI e IMSI, allo scopo di ingannare i server di Google e scaricare una stessa app due volte sullo stesso dispositivo, raddoppiando potenzialmente il profitto proveniente dalle piattaforme di advertising.
Mediante il furto del token di autorizzazione di Google, i cybercriminali responsabili della campagna Gooligan sono in grado di accedere all’account Google dell’utente e a tutti i servizi Google correlati, inclusi Google Play, Gmail, Documenti Google, Google Drive e Google Foto.
Gli analisti hanno stimato che gli account Google violati finora da Gooligan hanno superato il milione e che questo numero è in continuo aumento, con una stima di circa 13.000 nuove compromissioni al giorno. Il maggior numero di vittime di questa campagna di malware si concentra in Asia (57% del totale di infezioni rilevate), seguita dalle Americhe (19%), dall’Africa (15%) e dall’Europa (9%).
Esiste una pagina Web (Gooligan Checker) nella quale è possibile verificare se il proprio account Google è stato violato, inserendo l’indirizzo di Email associato. In caso di riscontro positivo si raccomanda di effettuare le azioni seguenti:
• Effettuare una reinstallazione completa del sistema Android sul dispositivo infetto. Questo procedimento, detto di “flashing”, va effettuato solo da tecnici esperti o tramite l’assistenza diretta del produttore.
• Modificare la password del proprio account Google immediatamente dopo la reistallazione del sistema.
Per evitare qualsiasi rischio di compromissione del proprio dispositivo Android, si raccomanda agli utenti di evitare assolutamente di scaricare app dagli store non ufficiali, di mantenere aggiornato il sistema operativo, applicando le patch di sicurezza messe a disposizione dal produttore, e di installare e mantenere aggiornata una soluzione antivirus.
Elenco di app contraffatte contenenti il trojan Gooligan:
Perfect Cleaner – Demo – WiFi Enhancer – Snake – gla.pev.zvh – Html5 Games – Demm – memory booster – แข่งรถสุดโหด – StopWatch – Clear – ballSmove_004 – Flashlight Free – memory booste – Touch Beauty – Demoad – Small Blue Point – Battery Monitor – 清理大师 – UC Mini – Shadow Crush – Sex Photo – 小白点 – tub.ajy.ics – Hip Good – Memory Booster – phone booster – SettingService – Wifi Master – Fruit Slots – System Booster – Dircet Browser – FUNNY DROPS – Puzzle Bubble-Pet Paradise – GPS – Light Browser – Clean Master YouTube Downloader – KXService – Best Wallpapers – Smart Touch – Light Advanced – SmartFolder – youtubeplayer Beautiful Alarm – PronClub – Detecting instrument – Calculator – GPS Speed – Fast Cleaner – Blue Point – CakeSweety Pedometer – Compass Lite – Fingerprint unlock – PornClub – com.browser.provider – Assistive Touch – Sex Cademy OneKeyLock – Wifi Speed Pro – Minibooster – com.so.itouch – com.fabullacop.loudcallernameringtone – Kiss Browser – Weather – Chrono Marker – Slots Mania – Multifunction Flashlight – So Hot – Google – HotH5Games Swamm Browser – Billiards – TcashDemo – Sexy hot wallpaper – Wifi Accelerate – Simple Calculator – Daily Racing Talking Tom 3 – com.example.ddeo – Test – Hot Photo – QPlay – Virtual – Music Cloud