SHOP ONLINE
SUPPORTO TECNICO

Euro Informatica

  • Chi Siamo
    • Chi Siamo
    • Case Study
      • Cereal Docks – Case Study
      • Morato Pane – Case Study
    • Mission
    • La Storia
    • Company Profile
    • Certificazioni
      • Certificazioni ISO
      • Rating di legalità
      • Cyber Security Made in Europe
    • Responsabilità sociale
    • Partners
  • Aree di competenza
    • Infrastruttura
    • Servizi gestiti
    • Servizi a valore
    • Servizi cloud
    • Operation Center
    • Sicurezza
    • Cyberteam
    • Academy
  • News
    • Euronews
    • Eventi e Webinar
    • Cybernews
  • Lavora con noi
  • Sedi e contatti
  • Cyberteam
lunedì, 05 Dicembre 2016 / Pubblicato il Alert

Gooligan, nuova campagna di malware

I ricercatori di sicurezza hanno identificato una nuova campagna di malware, denominata Gooligan, mirata alla compromissione degli account Google degli utenti di dispositivi mobili equipaggiati col sistema operativo Android.

Il malware legato a questa campagna è stato individuato in decine di app, apparentemente legittime, disponibili per il download su store Android non ufficiali (vedere elenco allegato). Le app infette possono essere distribuite anche mediante scaricamento diretto da link malevoli inseriti in messaggi SMS o di altre app di messaggistica istantanea.

Una volta che una app contenente il malware viene installata e lanciata su un dispositivo Android, viene instaurato un canale di comunicazione con un server C&C al quale vengono inviate alcune informazioni tecniche sul sistema. Successivamente, Gooligan scarica dal server un rootkit che sfrutta diversi exploit per le versioni di Android 4 (Jelly Bean e KitKat) e 5 (Lollipop), che costituiscono ancora complessivamente più del 70% del totale dei sistemi Android installati. Anche se questi exploit, tra i quali VROOT (CVE-2013-6282) e Towelroot (CVE-2014-3153), sono noti da tempo (il primo risale ad ottobre 2013), molti dispositivi attualmente in uso risultano ancora vulnerabili in quanto non sono stati aggiornati con le relative patch di sicurezza.

Una volta ottenuti  i privilegi di root sul sistema, e quindi il controllo completo del dispositivo, Gooligan scarica e installa dal server C&C un secondo modulo malevolo in grado di iniettare codice nei processi in esecuzione relativi a Google Play e Google Mobile Services, allo scopo di simulare il comportamento dell’utente ed evitare di essere individuato, con una tecnica simile a quella già vista nel trojan HummingBad. Questo modulo consente a Gooligan di eseguire le seguenti azioni malevole:

• catturare informazioni sull’account Google dell’utente e sul token di autorizzazione utilizzato dai servizi Google in esecuzione sul sistema;
• installare app arbitrarie da Google Play e assegnare loro valutazioni elevate in modo da aumentarne fittiziamente la reputazione;
• installare adware allo scopo di generare profitto.

In maniera analoga al trojan HummingBad, questo malware è in grado di falsificare alcuni dati identificativi del dispositivo, tra cui i codici IMEI e IMSI, allo scopo di ingannare i server di Google e scaricare una stessa app due volte sullo stesso dispositivo, raddoppiando potenzialmente il profitto proveniente dalle piattaforme di advertising.

Mediante il furto del token di autorizzazione di Google, i cybercriminali responsabili della campagna Gooligan sono in grado di accedere all’account Google dell’utente e a tutti i servizi Google correlati, inclusi Google Play, Gmail, Documenti Google, Google Drive e Google Foto.

Gli analisti hanno stimato che gli account Google violati finora da Gooligan hanno  superato il milione e che questo numero è in continuo aumento, con una stima di circa 13.000 nuove compromissioni al giorno. Il maggior numero di vittime di questa campagna di malware si concentra in Asia (57% del totale di infezioni rilevate), seguita dalle Americhe (19%), dall’Africa (15%) e dall’Europa (9%).

Esiste una pagina Web (Gooligan Checker) nella quale è possibile verificare se il proprio account Google è stato violato, inserendo l’indirizzo di Email associato. In caso di riscontro positivo si raccomanda di effettuare le azioni seguenti:

• Effettuare una reinstallazione completa del sistema Android sul dispositivo infetto. Questo procedimento, detto di “flashing”, va effettuato solo da tecnici esperti o tramite l’assistenza diretta del produttore.
• Modificare la password del proprio account Google immediatamente dopo la reistallazione del sistema.

Per evitare qualsiasi rischio di compromissione del proprio dispositivo Android, si raccomanda agli utenti di evitare assolutamente di scaricare app dagli store non ufficiali, di mantenere aggiornato il sistema operativo, applicando le patch di sicurezza messe a disposizione dal produttore, e di installare e mantenere aggiornata una soluzione antivirus.

Elenco di app contraffatte contenenti il trojan Gooligan:
Perfect Cleaner – Demo – WiFi Enhancer – Snake – gla.pev.zvh – Html5 Games – Demm – memory booster – แข่งรถสุดโหด – StopWatch – Clear – ballSmove_004 – Flashlight Free – memory booste – Touch Beauty – Demoad – Small Blue Point – Battery Monitor – 清理大师 – UC Mini – Shadow Crush – Sex Photo – 小白点 – tub.ajy.ics – Hip Good – Memory Booster – phone booster – SettingService – Wifi Master – Fruit Slots – System Booster – Dircet Browser – FUNNY DROPS – Puzzle Bubble-Pet Paradise – GPS – Light Browser – Clean Master YouTube Downloader – KXService – Best Wallpapers – Smart Touch – Light Advanced – SmartFolder – youtubeplayer Beautiful Alarm – PronClub – Detecting instrument – Calculator – GPS Speed – Fast Cleaner – Blue Point – CakeSweety Pedometer – Compass Lite – Fingerprint unlock – PornClub – com.browser.provider – Assistive Touch – Sex Cademy OneKeyLock – Wifi Speed Pro – Minibooster – com.so.itouch – com.fabullacop.loudcallernameringtone – Kiss Browser – Weather – Chrono Marker – Slots Mania – Multifunction Flashlight – So Hot – Google – HotH5Games Swamm Browser – Billiards – TcashDemo – Sexy hot wallpaper – Wifi Accelerate – Simple Calculator – Daily Racing Talking Tom 3 – com.example.ddeo – Test – Hot Photo – QPlay – Virtual – Music Cloud

Articoli recenti

  • CyberSecurity e CyberFuturo 2023

    Una chiacchierata online per fare il riassunto ...
  • Un business game per imparare a gestire un’impresa sostenibile

    Euro Informatica SpA è orgogliosa di esser...
  • Euro Informatica SpA annuncia il rinnovamento del proprio portale di e-commerce

    Euro Informatica SpA annuncia il rinnovamento d...
  • Euro Informatica Silver Sponsor al doppio evento HackInBo Business e Winter Edition 2022

    Anche quest’anno Euro Informatica Sp...
  • Euro Informatica Silver Sponsor al doppio evento HackInBo Business e Winter Edition 2022

    Anche quest’anno Euro Informatica Sp...

CENTRALINO UNIFICATO:
Tel. 0444 268150 - Fax 0444 268170

E-MAIL PEC:
[email protected]

E-MAIL:
[email protected]

E-COMMERCE:
www.euroinformatica.eu

Sede principale
Sandrigo (VI)
Viale della Repubblica 63/4
vedi sulla mappa

Sede Nord Ovest - Lombardia
Concorezzo (MB)
Via F. Magellano, 6
vedi sulla mappa

Ufficio territoriale - Veneto
Verona
Via Roveggia, 122/A
vedi sulla mappa

  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY PRIVATI - PRIVACY FORNITORI - PRIVACY CANDIDATI

TORNA SU
  • Shop online
  • Contattaci
  • Supporto tecnico
  • Cyberteam