La società di sicurezza Check Point ha rivelato una nuova campagna di malware che prevede l'utilizzo di app dannose per il root dei dispositivi Android, il furto di token di autenticazione di Google e il recupero illegale dei numeri di installazione e la revisione dei punteggi per altre app.
Il malware, soprannominato "Gooligan" da Check Point, utilizza vulnerabilità note per ottenere l'accesso alla radice - controllo completo - sui dispositivi con Android 4.xe 5.x, prima di utilizzarlo per rubare nomi di account Google e token di autenticazione. Ciò ha quindi permesso agli autori di installare in remoto altre app da Google Play sui dispositivi delle vittime e di pubblicare false recensioni a loro nome.
In teoria, malware come questo, progettato per rubare i dettagli di autenticazione, potrebbe essere stato in grado di accedere ad altre aree degli account Google, come Gmail o Foto. Non ci sono prove che "Gooligan" abbia fatto qualcosa del genere - invece, sembra che sia stato costruito per fare soldi per i suoi creatori attraverso installazioni illegali di app.
Ciò che colpisce di questa varietà di malware è il numero di account interessati - oltre un milione dall'inizio della campagna, secondo Check Point. La maggior parte - il 57 percento - di questi conti sono stati compromessi in Asia, secondo la società. Successivamente furono le Americhe con il 19 percento, l'Africa con il 15 percento e l'Europa con il 9 percento. Check Point ha creato un sito in cui è possibile verificare se il proprio account è interessato; Google dice anche che sta raggiungendo chiunque sia stato colpito.
In vista dell'annuncio pubblico di oggi, Google e Check Point hanno lavorato insieme per migliorare la sicurezza di Android.
Siamo grati sia della ricerca di Check Point sia della loro collaborazione, poiché abbiamo lavorato insieme per comprendere questi problemi ", ha dichiarato Adrian Ludwig, direttore della sicurezza di Android di Google." Come parte dei nostri continui sforzi per proteggere gli utenti dalla famiglia Ghost Push di malware, abbiamo adottato numerose misure per proteggere i nostri utenti e migliorare la sicurezza dell'ecosistema Android in generale."
Check Point rileva inoltre che la tecnologia "Verifica app" di Google è stata aggiornata per gestire le app che utilizzano vulnerabilità come questa. Ciò è significativo perché, sebbene non aiuti i dispositivi già compromessi, blocca le future installazioni sul 92 percento dei dispositivi Android attivi, anche senza la necessità di aggiornamenti del firmware.
Come altri exploit basati su app, la funzione "Verifica app" di Google ora protegge il 92 percento dei dispositivi attivi da "Gooligan".
"Verifica app" è integrato in Google Play Services e abilitato per impostazione predefinita in Android 4.2 Jelly Bean, che rappresenta il 92, 4 percento dei dispositivi attivi, in base ai numeri attuali. (Nelle versioni precedenti, può essere abilitato manualmente.) Come il resto di Play Services, viene regolarmente aggiornato in background e blocca l'installazione di app dannose e può consigliare agli utenti di disinstallare malware già presente.
Nelle versioni più recenti di Android, gli exploit sottostanti utilizzati da "Gooligan" per i dispositivi root saranno stati risolti tramite patch di sicurezza. Per quanto significativo possa sembrare un milione di account compromessi, questo è anche un esempio della strategia di sicurezza di Google per il malware basato su app che funziona come progettato, bloccando le installazioni delle app interessate nella stragrande maggioranza dell'ecosistema.
Se temi che il tuo account sia stato interessato, puoi visitare il sito di Check Point. In futuro, le garanzie esistenti di Google - una parte dei servizi di riproduzione degli ultimi quattro anni - garantiranno la tua protezione.
Aggiornamento: l'ingegnere capo di Google per la sicurezza di Android, Adrian Ludwig, ha un ampio resoconto sullo sfondo dell'annuncio odierno di "Googlian" e su ciò che Google sta facendo al riguardo, su Google+.
