Il più grande furto di account Google. Così viene definito quello messo in atto dai responsabili di Gooligan, un malware che ha messo a rischio 1,3 milioni di smartphone Android e i relativi account legati al colosso di Mountain View. L'obiettivo della truffa, però, non è quello di sottrarre i dati personali dagli utenti ma di costringere i dispositivi a scaricare alcune applicazioni come parte di uno schema più ampio che ha portato alla generazione di profitti superiori ai 320.000 dollari al mese. Il virus è in circolazione dallo scorso agosto ed è caratterizzato da una diffusione estremamente veloce: ogni giorno vengono infettati 13.000 nuovi dispositivi.
A denunciare la diffusione del malware è stata l'azienda di sicurezza Check Point, che spiega come il virus sia in grado di installarsi sul dispositivo quando un utente accede ad un particolare sito web e scarica un'applicazione. "Può essere un portale pornografico o un negozio digitale non ufficiale" spiega Michael Shaulov, responsabile della sicurezza mobile di Check Point. Una volta scaricato il file, però, Gooligan è in grado di riconoscere il dispositivo sul quale è installato e "rootarlo", cioè prendere pieno possesso delle sue funzioni principali.
Per arrivare a questo risultato gli hacker hanno sfruttato alcune vulnerabilità del sistema operativo disponibili su tutte le ultime versioni di Android, da Jelly Bean a Lollipop. Versioni che ad oggi rappresentano il 74 percento degli Android in uso quotidianamente, pari a circa 1,03 miliardi di device. Una volta che Gooligan ha preso il controllo del telefono, l'accesso all'account Google della vittima viene inviato ad un server remoto e può essere utilizzato per accedere a servizi come Gmail, Docs, Drive e Foto, anche se attivo il sistema di autenticazione a due fattori. Inoltre, il malware viene utilizzato per scaricare circa 30.000 applicazioni al giorno sugli smartphone delle vittime, alimentando una frode che genera 320.000 dollari al giorno.
Attualmente Check Point e Google hanno formato una task force per respingere la minaccia e hanno pubblicato uno strumento con il quale controllare se il proprio dispositivo è stato infettato. Per il momento, stando alle dichiarazioni dell'azienda di Mountain View, sembrerebbe che gli hacker non siano interessati ai dati personali degli utenti colpiti. "Non abbiamo rilevato nessuna attività fraudolenta negli account rubati" spiega Adrian Ludwig, capo della sicurezza di Android. "L'obiettivo degli hacker è quello di promuovere le applicazioni, non rubare informazioni". Le versioni di Android successive alla sesta non sono affette da questo malware.