Gooligan è un malware che colpisce i dispositivi Android attraverso l’account di Google. Il virus “inganna” i sistemi di smartphone e tablet per ricevere i permessi di amministratore dei dispositivi. Una volta dentro, ruba indirizzi email e token crittografici (dispositivi per effettuare l’autenticazione per la verifica in due passaggi).

Secondo alcune stime, Gooligan ha colpito negli ultimi mesi più di un milione di account e la conta degli utenti colpiti continua a salire. Si tratta del più grave furto di account Google mai visto nella storia della tecnologia.

13mila dispositivi colpiti dal malware ogni giorno

A scoprire l’enorme diffusione dell’infezione è stata Check Point, azienda produttrice di software per la sicurezza online. Secondo quando si apprende dalla ricerca effettuata, sono già più di un milione gli account di Google affetti dal malware. E il numero continua a salire dal momento che ogni giorno si aggiungono alla lista 13mila device in tutto il mondo.

L’intento degli hacker è quello di rubare i codici di identificazione degli utenti, per poi accedere a tutti i dati disponibili su Google Play, Gmail, Google Photos, Goole Docs, G Suite, Google Drive e così via.

Ecco un’infografica di Check Point che spiega come funziona Gooligan:

Gli hacker penetrano nel dispositivo attraverso due modalità: con una campagna di phishing (di cui vi abbiamo parlato qui) oppure attraverso l’app store di terze parti (e quindi non il Google Play ufficiale). Bisogna fare particolare attenzione a queste applicazioni, considerate infette:

• Perfect Cleaner
• Snake
• Flashlight Free
• Small Blue Point
• Battery Monitor
• Shadow Crush
• Memory Booster
• SettingService
• Wifi Master
• Fruit Slots

Una volta installato, il malware raccoglie i dati sul dispositivo infettato, scarica i rootkit, una serie di software malevoli, e installa un nuovo modulo.

A questo punto vengono rubati gli account email e i token crittografici dell’utente, con l’accesso automatico a tutti i dati che abbiamo elencato prima. Il virus arriva infine su Google Play e scarica tutta una serie di app fraudolente.

«Questo furto di informazioni dagli account Google è inquietante», ha dichiarato Michael Shaulov, a capo dei prodotti per il mobile di Google. «Goolligan rappresenta il prossimo step nel mondo degli attacchi informatici: gli hacker, oggi, stanno mutando la propria strategia: ora prendono di mira non solo i computer, ma anche i dispositivi mobile. E attraverso di essi accedono ai dati sensibili degli utenti»

Come scoprire se si è infetti e come rimediare

Al momento, Gooligan ha preso piede soprattutto in Asia, dove sono molto diffusi i device Android che hanno sistemi operativi come Android 4 (Jelly Bean e KitKat) e Android 5 (Lollipop). Il 57% dei device infetti sono ora in Asia. L’Europa è stata colpita meno: circa il 9% dei dispositivi ha “contratto” il malware.

Check Point ha messo a disposizione uno strumento di verifica gratuito, per controllare se il nostro smartphone è stato infettato. È disponibile online: https://gooligan.checkpoint.com/

Se il nostro device risulta colpito, l’azienda consiglia due step di azione:

1. Formattazione e re-installazione del sistema operativo sul dispositivo mobile in uso. Se non possiedi le capacità sufficienti per farlo da solo, è consigliabile rivolgersi a uno specialista.
2. Cambia la password del tuo account Google immediatamente.

Foto: Blogtrepreneur on Flickr