Visualizzazione post con etichetta Gooligan. Mostra tutti i post
Visualizzazione post con etichetta Gooligan. Mostra tutti i post

giovedì 1 dicembre 2016

Android: Malware Gooligan, verificare se il proprio account è stato violato

A partire da Agosto 2016 oltre un milione di account Google sono stati violati al ritmo di 13.000 al giorno dal malware Gooligan.

Gooligan esegue il root dei dispositivi Android vulnerabili per rubare indirizzi email e i token utilizzati per l'autenticazione dell'utente sulla piattaforma di Google. Con tali informazioni il malintenzionato può accedere all'account Google della vittima e di conseguenza a tutti i dati sensibili (Gmail, Google Photos, Google Docs, Google Play, Google Drive, ecc) presenti; inoltre,  può eseguire comandi da remoto sul dispositivo infetto.

I dispositivi a rischio sono quelli su cui è installato Android 4 (Jelly Bean e KitKat) e Android 5 (Lollipop).

Il malware si annida su molte App presenti su App-Store di terze parti (alternative a Google Play) e può essere distribuito anche tramite phishing inviando alla vittima un collegamento all'app infetta. Una volta che l'applicazione infetta viene installata sul dispositivo, Gooligan si attiva e procede al download di un rootkit dai server Command and Control (C&C server). Il rootkit sfrutta le vulnerabilità di Android 4 e 5 non aggioranti utilizzando gli exploit VROOT (CVE-2013-6282) e Towelroot (CVE-2014-3153). L'attacco in molti casi riesce in quanto le patch di sicurezza che sistemano queste falle non sono state rilasciate per tutti i dispositivi Android o non sono state mai installate dagli utenti. Una volta eseguito il rooting, il malvivente ha pieno controllo del dispositivo è può eseguire comandi da remoto.
Dopo aver ottenuto l'accesso alla root, Gooligan scarica e installa un altro modulo dai server C&C che viene utilizzato per inserire codice malevolo all'interno dell'App Google Play. Questo permette a Gooligan di rubare l'email e il token utilizzati per l'autenticazione dell'utente, di installare e valutare le App da Google Play in modo da incrementarne il rating, di installare adware che visualizzano spot pubblicitari.


Gooligan
FIG 1 - Gooligan



Verificare se il proprio account è stato violato


Per verificare se il proprio account è stato violato basta andare su https://gooligan.checkpoint.com/ e inserire l'indirizzo email relativo al proprio account Google.

Nel caso in cui l'account risultasse violato è necessario effettuare un'installazione pulita di Android sul dispositivo (flashing della rom) e successivamente procedere al cambio della password dell'account Google.


Gooligan Checker
FIG 2 - Gooligan Checker