Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Dic 02, 2016 Marco Schiaffino Malware, Minacce, News, RSS, Trojan 0
Il nuovo spauracchio per gli utenti Android si chiama Gooligan ed è un trojan in grado di rubare le credenziali di accesso all’account degli utenti e prendere il controllo in remoto del dispositivo.
Il malware è stato diffuso con una campagna di phishing via SMS e attraverso numerose app (per la precisione 86) pubblicate su market di terze parti.
Una volta installato sul dispositivo, Gooligan sfrutta alcune vulnerabilità note di Android, che affliggono le versioni Ice Cream Sandwich; Jelly Bean; KitKat e Lollipop. In pratica il 74% dei dispositivi Android in circolazione.
Si tratta di falle di sicurezza conosciute (CVE-2013-6282 e CVE-2014-3153) ma ancora efficaci. Le patch di sicurezza, infatti, non sono disponibili per tutte le versioni del sistema operativo.
Come fanno notare nel loro report i ricercatori di Check Point, inoltre, a questi vanno aggiunti tutti gli utenti che sono vulnerabili perché non hanno semplicemente aggiornato il sistema all’ultima versione.
Risultato: secondo Check Point ci sarebbero in circolazione 1 milione di dispositivi compromessi dal trojan, che si starebbe diffondendo con una rapidità eccezionale.
I rootkit usati da Gooligan sfruttano le due vulnerabilità per eseguire il root del telefono e prenderne il controllo. A questo punto contatta il server Command and Control gestito dai cyber criminali per scaricare un ulteriore modulo del malware.
Il modulo integra delle tecniche di offuscamento e permette al malware di sottrarre informazioni personali dell’utente e installare ulteriori app sul telefono.
In particolare, Gooligan installa app (perfettamente legali) che visualizzano contenuti pubblicitari, i cui ricavi però finiscono nelle tasche dei pirati informatici. Il malware sfrutta il telefono infetto anche per pubblicare su Google Play recensioni positive delle app per aumentarne il rating.
Il furto di informazioni, invece, è focalizzato sui Google authorization token. Si tratta di una sorta di certificato che viene fornito da Google quando si accede all’account e consente l’accesso all’account stesso e ai servizi collegati.
In pratica, i pirati hanno libero accesso a servizi come Google Play, Gmail, Google Docs, Google Drive, e Google Foto.
Check Point ha messo a disposizione una pagina Web che consente di sapere in un attimo se il nostro account Google è stato compromesso dal malware. Per eseguire la verifica basta collegarsi a questo indirizzo, inserire l’email relativa all’account e fare clic su Check.
Mar 14, 2024 0
Mar 07, 2024 0
Mar 01, 2024 0
Feb 23, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...