Android è indubbiamente il sistema operativo per device mobili più diffuso al mondo e, a tal proposito, le stime sul futuro parlano di percentuali sempre crescenti. Logica vuole, quindi, che sia questo l’ambiente a cui gli hacker devono interessarsi per fare più danni possibile: ciò è tanto più vero dopo la notizia che, nelle ultime ore, il virus Gooligan ha già colpito ben 1 milione di dispositivi Android based.
A darne l’annuncio è una software house americana specializzata in sicurezza, la Check Point Software Technologies, secondo la quale il malware Gooligan, con un tasso di propagazione di oltre 13 mila dispositivi al giorno, avrebbe contagiato già 1 milione di smartphone (e tablet) basati sull’OS mobile googleiano.
La modalità di diffusione di Gooligan prevede un attacco “a forbice”: in sostanza si può “beccare” tale virus, o installando applicazioni adulterate (ad oggi se ne contano 86), nel cui codice stia stato inserito quello, malevolo, di Gooligan, o cliccando su un link contenuto all’interno di messaggi di phishing. Il risultato, purtroppo, non cambia. Da quel momento, richiamato da un server remoto, Gooligan acquisirà i diritti amministrativi (root) del dispositivo e procederà a far danni.
Innanzitutto, Gooligan si impadronirà del token di accesso all’account Google associato al dispositivo: in questo modo, e senza bisogno della relativa password, potrà controllare tutta una gamma di servizi quali Google Documens, GDrive, Gmail, Google Foto, Hangouts etc. Con danni, in termini di dati sensibili carpiti, facilmente immaginabili.
In seguito, il medesimo Gooligan procederà ad installare – in locale – applicazioni a pagamento premurandosi, anche, di dar loro una buona valutazione sullo store dal quale son tratte. Sempre col fine di generare profitto per l’hacker, o per i suoi accoliti, Gooligan “concluderà” la sua mission colmando il dispositivo infetto di adware, software infarcito di pubblicità ed annunci commerciali.
Il responsabile della sicurezza di Android, Adrian Ludwig, ha dichiarato che Google è stata già avvertita del pericolo rappresentato da Gooligan e che ha messo in campo una serie di contromisure che prevedono il blocco ed il ripristino degli account compromessi, la cancellazione dal PlayStore di diverse app infette, il potenziamento della procedura di verifica di quelle ammesse al suddetto store.
Check Point Software Technologies, dal canto suo, ha precisato che ad essere colpiti da Gooligan sono, per lo più, i dispositivi Android non aggiornati, ovvero quelli fermi alle versioni 4 e 5 (Ice Cream Sandwich, Jelly Bean, KitKat e Lollipop). Questi ultimi, purtroppo, costituiscono il 74% del totale, e sono distribuiti per lo più in Asia (57%) ed Europa (9%). Per accertare se il proprio account/device sia stato compromesso, la medesima security house ha allestito una pagina web, il Gooligan Checker, reperibile nel proprio sito istituzionale: in caso di infezione, l’unica strategia consigliata consiste nel cambiare la password al proprio account, e nel procedere al ripristino di Android tramite l’operazione di re-flashing (meglio se corredata dalla formattazione tramite procedure di wipe) del dispositivo.