G DATA mette a nudo ZeuS Panda


Gli analisti G DATA hanno curiosato nella struttura di questo ospite fisso tra i trojan che mirano al mondo bancario. Ora disponibile l’analisi completa di un malware particolarmente articolato.

Bochum – Il banking trojan ZeuS e la sua variante chiamata “Panda” hanno rappresentato negli ultimi sei anni un esempio di malware “prezzemolino” nell’universo delle minacce ai sistemi bancari. L’analisi G DATA rivela un trojan assolutamente fuori dal comune.

Come sapere se i sistemi sono infetti

Partiamo con una cattiva notizia: una volta che una macchina non protetta è stata infettata, è quasi impossibile rilevare la presenza di ZeuS Panda guardando solo i contenuti sullo schermo. Quanto visualizzato sullo schermo è infatti frutto di una intelligente manipolazione che presenta all’utente un perfetto clone di un particolare sito bancario o di sito per i pagamenti online. Gli utenti vengono indotti ad eseguire una donazione a un ente caritatevole o ingannati con richieste di restituzione di un pagamento ricevuto erroneamente, altri aggressori addirittura alzano la posta adducendo indagini sul riciclaggio di denaro condotte dalla “polizia finanziaria tedesca” (non esiste una simile istituzione in Germania, almeno non sotto questo nome). Oltre ad appropriarsi dei dati immessi sul sito web e modificare ciò che l’utente può vedere, ZeuS Panda manipola anche alcune impostazioni di sicurezza e allarmi all’interno del browser, che altrimenti potrebbero rivelarne la presenza.

Ed ora la buona notizia: esistono tecnologie in grado di rilevare un’infezione anche in assenza di una firma per questo malware, come ad esempio G DATA BankGuard.

Perchè Panda è speciale

Sono numerosissime le applicazioni dannose che cercano di eludere la rilevazione e di precludere l’analisi. ZeuS Panda è dotato di meccanismi articolati per evitare che venga analizzato: ad esempio controlla se sono presenti indicatori tipici di macchine virtuali – tra cui VMWare, OpenBox, Wine o qualsiasi tipologia di ambiente HyperV. Molti analisti testano campioni di malware in ambienti virtuali, il malware tenta quindi di compromettere l’analisi. Inoltre, Panda verifica la presenza di molti strumenti utilizzati dagli analisti tra cui ProcMon, Regshot, Sandboxie, Wireshark, IDA e il debugger SoftICE. Se viene rilevata la presenza di uno di questi programmi, il malware non viene eseguito. Altre applicazioni malevole utilizzano controlli davvero superficiali per verificare la presenza di VMWare e OpenBox, funzioni spesso copiate e incollate da codice di terzi. Nel caso di Panda, non solo la verifica è approfondita ma sono stati utilizzati diversi “packer” per creare il file dannoso, cosa che obbliga gli analisti a spacchettizzare il file manualmente. Insomma i creatori di ZeuS Panda hanno creato un malware che dà parecchio filo da torcere agli analisti.

Online circolano anche altri tipi di malware che utilizzano tecniche simili, ma in molti casi l’implementazione è scadente o il trojan stesso contiene errori, limitandone l’efficacia. Tra i numerosi esempi figurano anche casi in cui, dopo aver condotto le attività di deoffuscamento del codice, è risultato che l’URL che doveva essere contattato dal malware conteneva un errore di battitura, azzoppando l’intero costrutto.

Non è questo il caso di ZeuS Panda il cui compito è di continuare a raccogliere dati fino a quando non gli viene ordinato il contrario. Anche qualora il server di comando e controllo di riferimento sia tolto dalla rete, il malware continua ad accumulare i dati sul sistema fino a quando non può scaricarli su un altro server.

Un “coltellino svizzero” fabbricato nell’Europa orientale

Ciò che differenzia Panda in termini di meccanismi di evasione e qualità della produzione, è la sua versatilità. Sebbene ZeuS Panda sia innanzitutto un Trojan bancario, è anche in grado di rubare altri tipi di dati da un sistema, inclusi i contenuti degli appunti (ossia quello che viene copiato in un file per incollarlo altrove  – le applicazioni che gestiscono le password utilizzano spesso la clipboard per trasferire le credenziali dal gestore delle password ad un’altra applicazione o sito web) e eventuali screenshot. Inoltre può implementare una backdoor completa sul sistema infetto tramite VNC. Una situazione equiparabile all’avere qualcuno che siede alle nostre spalle e ci spia quotidianamente 24 ore su 24.

Quale funzione di ZeuS Panda è effettivamente attiva sul sistema dipende dalla configurazione del malware stesso, che si aggiorna automaticamente a intervalli regolari. L’applicazione può quindi trasformarsi da trojan bancario a spyware e controllo remoto di un PC in pochi minuti, a discrezione esclusiva dell’aggressore.

In merito all’origine di ZeuS Panda le indicazioni sono molto chiare: il malware non si attiva se rileva che il sistema aggredito si trova in Russia, Ucraina, Bielorussia o Kazakistan.

Analisi dettagliata

Il rapporto contenente l’analisi tecnica dettagliata di ZeuS Panda è scaricabile dal sito G DATA Advanced Analytics ed è integrato in due articoli postati dal team sul sito (Parte 1 e Parte 2 ).

Continua a leggere

Tutti pronti per il GDPR


Eliminare le vulnerabilità dei sistemi informatici e gestire gli aggiornamenti facilmente con G DATA Patch Management.

Bochum (Germania)

Il 25 maggio 2018 entra in vigore il regolamento generale sulla protezione dei dati (GDPR) dell’UE per rafforzare e unificare le modalità con cui vengono trattati i dati in Europa. Anche la protezione dell’infrastruttura IT contro attacchi informatici al fine di prevenire il furto di dati fa parte delle misure di tutela previste.  Come evidenziato dagli ultimi episodi di infezione su larga scala, l‘installazione degli aggiornamenti dei software è un tassello essenziale per mitigare i rischi dovuti allo sfruttamento di vulnerabilità di sistemi operativi e delle applicazioni potenzialmente accessibili agli aggressori. G DATA Patch Management aiuta gli amministratori di sistema ad adempiere a tali compiti e consente di installare eventuali patch immediatamente o in modo progressivo sulla rete.  In combinazione con le potenti soluzioni antivirus business di G DATA, la gestione semplificata degli aggiornamenti porta la tutela contro il furto di dati ad un livello superiore, fornendo alle società un valido aiuto in termini di compliance con il GDPR. 


Il regolamento generale sulla protezione dei dati dell’UE: Le aziende non possono farsi cogliere impreparate

Le nuove normative riguardano tutte le aziende che raccolgono e trattano dati personali, ad esempio attraverso il proprio database clienti.Queste aziende, indipendentemente dalla dimensione, devono garantire una protezione completa di tutte le informazioni sensibili attraverso tecnologie “allo stato dell’arte”, pena il dover far fronte a rigide sanzioni economiche. Chi impiega software obsoleti o non aggiorna i sistemi si pone in una situazione che può potenzialmente favorire gli attacchi informatici e corre il rischio di essere multato nel caso di una violazione dei dati. L’elaborazione di regole di conformità obbligatorie in merito al trattamento dei dati sensibili è uno dei passi necessari per garantirne la tutela. Un’altra componente importante è assicurarsi che l’infrastruttura IT sia dotata di una protezione completa contro la perdita dei dati e attacchi cyber. Proprio in questo contesto si collocano le soluzioni per la gestione del processo di patching dei sistemi. Queste consentono di installare repentinamente sulla rete gli aggiornamenti forniti dai produttori del software in uso.

La soluzione: G DATA Patch Management

Attraverso una soluzione per la gestione delle patch si affronta in modo efficace la pletora di aggiornamenti dei sistemi operativi o delle applicazioni forniti dai vendor. G DATA Patch Management è un modulo aggiuntivo che si integra nativamente nelle soluzioni di rete dello specialista della sicurezza IT e  che supporta gli amministratori nella distribuzione efficiente delle patch.

 


Vantaggi di G DATA Patch Management:
 

  • Gestione centralizzata delle patch: gli aggiornamenti vengono distribuiti ai singoli client in modalità centralizzata tramite il server di gestione è inoltre possibile eseguire un roll-out progressivo.
  • Minimizzazione dei rischi: le patch possono essere “eseguite” in un ambiente di prova per escludere eventuali problemi di compatibilità specifici sui client.
  • Sempre aggiornati: Con G DATA Patch Management, i responsabili IT si assicurano che i client utilizzino sempre le versioni più recenti del software in uso che, di conseguenza, risulterà meno vulnerabile.
  • Panoramica intuitiva: Il modulo fornisce agli amministratori una panoramica delle applicazioni e dei sistemi operativi utilizzati nella rete e l’elenco delle patch disponibili.

Per saperne di più su consultare:

https://www.gdata.it/aziende/patch-management

Continua a leggere

Petya redivivo – di nuovo


Di Petya G DATA ha già parlato nel 2016. Il ransomware si ripresenta occasionalmente con nuove vesti, l’ultima volta come “GoldenEye”. Questa nuova ondata di infezioni presenta una sola differenza: è la prima volta che Petya sfrutta un exploit proveniente dall’arsenale di un’agenzia di intelligence, portato tristemente alla ribalta con WannaCry.

Bochum – Secondo le ultime notizie diffuse dalle regioni inizialmente interessate dall’attacco e dai media, l’ondata di infezioni con il ransomware di Petya ha colpito numerosissime organizzazioni governative e private in Europa come negli Stati Uniti, tra cui una grande compagnia petrolifera, costretta – secondo indiscrezioni – a passare ai server di backup per garantire la continuità della produzione, aziende per la fornitura di energia elettrica, società di logistica e l’aeroporto di Kiev, chiuso nel tardo pomeriggio di ieri per le conseguenze dell’infezione, oltre a sistemi di pagamento elettronico in uso presso supermercati.

Nel frattempo, primi pagamenti del riscatto richiesto sono già stati versati su quello che – al momento – risulta essere l’unico portafoglio bitcoin per il quale si riconosca una relazione diretta con l’attuale campagna. G DATA sconsiglia fortemente di pagare qualsiasi riscatto! Non necessariamente il pagamento assicura che si possa di nuovo disporre dei file cifrati.  Tra l’altro, una volta scoperto che cybercriminali si stavano avvalendo di una casella di posta elettronica Posteo per lanciare l’attacco su larga scala, il provider tedesco ha bloccato l’accesso alla casella e ha informato l’Ufficio Federale per la Sicurezza Informatica. I cybercriminali non hanno più accesso alle mail ivi inviate.

Dettagli tecnici

Dalle analisi condotte dai G DATA Security Lab e da risultanze condivise dalla community infosec, l’origine dell’ondata di infezioni è stata individuata nella compromissione di un meccanismo di aggiornamento di un software ampiamente utilizzato per la contabilità. Le prime vittime sono state infettate proprio tramite l’aggiornamento di tale software. Pur avvalendosi di Eternalblue per infettare la rete locale, a differenza di  Wannacry il “nuovo” Petya non si propaga tramite Internet. Cerca invece accesso alle credenziali di amministratore per poter inserire i propri file in cartelle $admin condivise in rete. Anche la cifratura mostra tratti familiari: il ransomware verifica se ha modo di accedere ai privilegi di amministratore per sovrascrivere alcune aree del disco rigido. Qualora l’esito sia positivo, viene forzato il reboot di una macchina infetta dopo aver subito un crash. Al contrario di quanto presentato da alcuni rapporti comparsi su piattaforme di social media, in questo ransomware non è presente alcun “killswitch”.

All’attuale stato delle cose, la componente che dà luogo alla diffusione dell’ultima variante di Petya pare funzionare meglio di WannaCry su Windows XP. Oltre a ciò, la versione corrente cancella il registro degli eventi di Windows durante il processo di infezione.

Il ransomware prende di mira file con le seguenti estensioni:

.3ds .7z .accdb.  ai. asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk

.djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt

.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls.

xlsx .xvd .zip

Un’infinità di nomi per il Petya redivivo

G DATA ha riscontrato una generalizzata confusione nell’assegnare un nome all’attuale variante del ransomware “Petya”. La base di codice è indubbiamente quella di Petya / Misha / GoldenEye, per questo motivo inizialmente intendevamo procedere usando il nome “Petya”. Altri lo hanno chiamato NotPetya, EternalPetya, PetyaBlue, Petna, PetyaWrap, Petrwrap, SortaPetya, Nyetya, Expetr e altri. Pur avendo deciso di fare riferimento a questa particolare nuova variante con il nome Petna, la denominazione con cui il ransomware è identificato resta invariata.

Clienti G DATA protetti

La variante corrente è rilevata da tutte le soluzioni G DATA come Win32.Trojan-Ransom.Petya.V e Trojan.Ransom.GoldenEye.B. Altri moduli proattivi quali l’ExploitProtection e la protezione comportamentale AntiRansomware offrono un ulteriore livello di protezione.

Countromisure e mitigazione

Ci sono diverse misure efficaci per prevenire infezioni o quanto meno mitigare i rischi:

  • Installare l’ultimo aggiornamento di Windows se possibile. Questo aggiornamento (disponibile dal mese di marzo – come già indicato nel caso di WannaCry) chiude le falle di cui si avvale l’exploit Eternalblue.
  • Per prevenire infezioni attraverso l’interfaccia di gestione di Windows (WMI), gli amministratori di sistema dovrebbero prendere alcune precauzioni, come raccomandato da Microsoft
  • L’esecuzione di un codice da remoto attraveso PSExec o WMI richiede privilegi di amministratore: si sconsiglia di garantire tali privilegi ai normali utenti.
  • Se si nota un’infezione prima che appaia la richiesta di riscatto, spegnere immediatamente il sistema. Non riavviare la macchina in nessun caso – c’è la possibilità che non tutto sia stato cifrato prima dello spegnimento forzato.

Di nuovo: raccomandiamo di non effettuare alcun pagamento di riscatto, soprattutto visto che il provider ha chiuso la casella di posta elettronica dei criminali.

Per ulteriori dettagli tecnici e aggiornamenti consultare il blog G DATA al link https://www.gdatasoftware.com/blog/2017/06/29840-petya-is-back-again

Continua a leggere

Panda Security e Stormshield siglano un’alleanza tecnologia europea contro le minacce informatiche


  • Due aziende leader nel settore della sicurezza informatica sottoscrivono un’alleanza tecnologica europea che assicurerà ai rispettivi clienti una protezione completa e globale contro il cybercrime.
  • L’accordo offre agli utenti il meglio delle soluzioni Stormshield e Panda Security per proteggere workstation e infrastrutture IT.
  • Fornisce tutti gli strumenti di gestione della sicurezza necessari per proteggere le aziende contro la violazione dei dati che cagionano in media danni per 3,7 milioni di euro.

Secondo un recente studio (1), le violazioni dei dati sono aumentate del 29% dal 2013 e in media cagionano danni per 3,7 milioni di euro alle imprese.

Panda Security, multinazionale spagnola leader in soluzioni di sicurezza endpoint, e Stormshield, azienda francese leader nella protezione delle reti aziendali, annunciano di aver siglato un’alleanza strategica europea che unisce le rispettive competenze a garanzia di una protezione ancora più efficiente delle infrastrutture e degli ambienti IT delle aziende, al fine di fornire loro un aiuto concreto nel percorso verso la trasformazione digitale. Attraverso questa alleanza strategica, i clienti avranno accesso a soluzioni uniche, progettate per rilevare e contrastare le minacce note e non note ai danni di reti, workstation e server. L’offerta congiunta darà ai clienti una visibilità completa e unificata delle minacce.

Una soluzione di sicurezza innovativa

Oltre a fornire ai clienti una soluzione unificata ed europea al 100%, che integra il meglio delle tecnologie per la sicurezza di perimetro e endpoint, questa collaborazione permetterà ai due partner di condividere esperienze e competenze in merito alle differenti minacce, al fine di aumentare significativamente il livello di protezione dei propri clienti. Nello specifico Stormshield condividerà la propria esperienza nella tutela di reti industriali e tecnologie operative. Più in generale, Panda Security e Stormshield collaboreranno a stretto contatto per fornire una protezione efficace contro minacce note e sconosciute. Questa collaborazione unica in Europa è indice del ruolo centrale che le due società informatiche europee intendono svolgere nel mercato della cybersecurity e in particolare nel campo della protezione dell’infrastruttura digitale.

Juan Santamaria, Direttore Generale di Panda Security commenta: “I firewall di nuova generazione e le funzionalità UTM perno delle soluzioni Stormshield Network Security proteggono efficacemente le reti dei nostri clienti, assicurando loro il miglior rapporto prezzo / prestazioni sul mercato. Queste soluzioni offrono una risposta completa e quanto mai necessaria all’esigenza di tutelare infrastrutture tradizionali, industriali e cloud “. Matthieu Bonenfant, Direttore Marketing di Stormshield, dichiara: “Panda Security gode di un posizionamento unico sul mercato della protezione delle workstation e delle soluzioni avanzate per la sicurezza informatica. Con Adaptive Defense, tutti i nostri clienti, indipendentemente dalla loro dimensione, beneficeranno di una sicurezza next-gen, facile da implementare e gestire. Questa soluzione si combina perfettamente con l’offerta Stormshield Endpoint Security dedicata principalmente a ambienti operativi sensibili e industriali. Siamo lieti di questa nuova alleanza e di come essa sottolinei il nostro impegno nel proporre una soluzione europea su larga scala per la sicurezza end-to-end delle infrastrutture dei nostri clienti”.

(1) 2016 Ponemon Institute Cost of a Data Breach Study

Continua a leggere

Utilizzabile ovunque e con qualsiasi strumento: 3CX introduce nuovi standard di fruibilità per le UC


Nuovo web client e soluzione UC fruibile con qualsiasi piattaforma on-premise, in cloud, o addirittura su MiniPC: la versione 15.5 di 3CX Phone System offre un’esperienza utente senza paragoni

LONDRA  – 3CX, produttore della soluzione di nuova generazione e software-based per le Unified Communications, rilascia oggi 3CX Phone System Versione 15.5, che assicura una fruibilità dei servizi UC ancor più rapida, sicura e affidabile. Tra le novità spiccano l’introduzione di un nuovo client per la telefonia tramite browser web, il perfezionamento della funzionalità “clicca e chiama” e nuove funzionalità per la gestione dei telefoni da tavolo e delle app gratuite per smartphone. Con la nuova versione gli utenti gestiscono chiamate in arrivo, trasferimenti di chiamata o il passaggio da una regolare chiamata ad una videoconferenza con un solo clic. Il nuovo client web vanta un’interfaccia utente particolarmente moderna ed è ottimizzato per browser basati su standard aperti come Chrome e Firefox.

 

La versione 15.5 assicura continuità alla strategia “Deploy Anywhere” di 3CX volta a garantire l’utilizzabilità delle Unified Communications con qualsiasi piattaforma e strumento. La soluzione 3CX può essere facilmente implementata su MiniPC di marchi leader come Intel, Zotac, Shuttle e Gigabyte. Consentendo l’impiego di appliance disponibili in tutto il mondo, con un servizio di assistenza tecnica locale ed acquistabili ad un prezzo molto inferiore rispetto a centralini tradizionali, la versione 15.5 si rivela ideale per uffici di piccole dimensioni che non dispongono di propri server. La versione cloud della piattaforma UC di 3CX supporta un numero ancora maggiore di operatori di servizi voce in hosting, tra cui 1&1, e può essere implementata in pochi minuti con avvalendosi del noto strumento “PBX Express” di 3CX. Da subito quindi le organizzazioni possono ospitare un sistema completo per le Unified Communications con il minimo sforzo.

Nick Galea, CEO 3CX, afferma:

“La nostra versione 15.5 rappresenta un ulteriore sviluppo della nostra strategia “Deploy Anywhere” – può essere implementata on premise, in cloud o persino su dispositivi terzi, lasciando a partner e clienti il pieno controllo dell’installazione”.

La versione 15.5 include numerose nuove funzioni e perfezionamenti, tra cui:

Videoconferenza web integrata

Il nuovo client web integra la videoconferenza. Gli utenti possono facilmente avviare una conferenza web direttamente dal client in modo trasparente e agevole, senza dover scaricare altre applicazioni o plugin, cosa non necessaria neanche per i partecipanti a distanza. 3CX è il primo fornitore di piattaforme per la telefonia IP che include il web conferencing gratuitamente nella soluzione per un massimo di 100 partecipanti contemporanei, senza alcun costo per licenze aggiuntive o impatto sullo staff IT.

Gestione delle chiamate semplificata per Deskphone o Smartphone

Il controllo del telefono da remoto è stato notevolmente perfezionato grazie allo standard uaCSTA per i telefoni da tavolo, che ora possono essere gestiti in modo affidabile indipendentemente dalla sede in cui sono impiegati o dal tipo di installazione del centralino (in cloud o presso il cliente). Anche le app 3CX per la fonia su smarphone possono essere controllate da remoto – un grande vantaggio per chi opera in mobilità.

“Click2Call” da qualsiasi CRM

L’estensione 3CX Click to Call per Google Chrome consente di effettuare una chiamata con un semplice clic dalle soluzioni CRM più popolari o applicazioni Office 365 senza installare alcun plugin. L’estensione consente anche agli utenti di comporre facilmente un numero da qualsiasi pagina web.

Ma non è tutto…

  • La nuova versione integra il modulo sviluppato per gli alberghi. Non è quindi più necessario scaricare e installare alcun componente aggiuntivo. Il modulo funziona con qualsiasi tipo di impiego del centralino (cloud o on-premise) per Windows e Linux.
  • Supporto della funzione PUSH Google Firebase, necessaria per tutti gli smartphone android di nuova generazione.
  • Conformità PCI in ambito finanziario – qualora durante la registrazione di una telefonata con il cliente vengano condivise informazioni sulle carte di credito, è possibile mettere in pausa la registrazione senza spezzarne il file.

Link & Documentazione

Manuale Amministratore

Manuale Utente

Windows

Linux

Click2Call Extension

Continua a leggere

App store di terze parti – isola felice di Gooligan


Logo-Claim-2015-3c-highresIl fatto che numerose app a pagamento sullo store Google ufficiale siano disponibili gratuitamente tramite store di terze parti risulta per alcuni utenti particolarmente allettante. Un recente studio su un nuovo malware Android denominato “Gooligan” mostra però che tali applicazioni nascondono numerose insidie.

Bochum (Germania) – Secondo la recente analisi di Checkpoint i dispositivi più colpiti sarebbero quelli su cui sono installate versioni più datate del sistema operativo Android. Gooligan utilizza ben due vulnerabilità note e documentate, al fine di violare l’accesso root del dispositivo. Come risultato, il dispositivo installa autonomamente altre applicazioni. In tal modo, il numero di download di queste applicazioni viene gonfiato, incrementandone di conseguenza il ranking nello store. Per coloro ai quali questo approccio suona familiare, nella scorsa metà dell’anno, anche il malware HummingBad, che utilizzava la stessa procedura, ha dato importanti spunti di discussione.

Quali sono i rischi?

Dal momento che Gooligan, come HummingBad, viola il dispositivo, il cybercriminale ha accesso indiscriminato a tutti i dati archiviati sul dispositivo. Sebbene, allo stato attuale, non siano noti accessi indesiderati a immagini o documenti personali, a livello squisitamente tecnico non sussisterebbe alcun limite a tale manipolazione.

Per scaricare più applicazioni Gooligan trafuga il cosiddetto token* di autenticazione per l’account Google dell’utente. Se il malintenzionato è venuto in possesso di questo token, sarà in grado di accedere a tutti i servizi Google di cui il titolare del conto è fruitore. Misure di sicurezza come l’autenticazione a due livelli in questo caso perdono la propria efficacia, poiché – dalla prospettiva dei server di Google – il token risulta essere corretto e regolarmente registrato.

Quanti dispositivi sono interessati?

Potenzialmente tutti i telefoni e tablet Android su cui è installato Android 4 o Android 5 e con i quali sono state scaricate applicazioni da app store di terzi. Dispositivi con versioni di Android più recenti non sono colpiti dalla minaccia.

Tuttavia, per un numero purtroppo elevato di dispositivi le versioni più recenti di Android non sono (ancora) disponibili. Le versioni “Kit Kat” e “Lollipop” cubano ancora per quasi il 60% dei sistemi operativi installati sui dispositivi in uso su scala mondiale. Terreno fertile per Gooligan che non pare avere un targeting verticale contro un particolare gruppo di utenza o specifiche aziende ma colpisce indiscriminatamente chiunque.

g_data_blog_android_stats_77948w859h530

Quali misure ha intrapreso Google?

Google ha già contattato e informato gli utenti colpiti e revocato i token violati, rendendoli inutilizzabili per i cybercriminali. Gli interessati devono registrarsi nuovamente dopo aver rimosso il malware. Purtroppo, l’unico metodo affidabile per rimuovere Gooligan dai dispositivi infetti è resettare il dispositivo. Questo metodo permette di rimuovere l’accesso illegittimo alla root e assicura che l’applicazione incriminata venga rimossa. Eventuali applicazioni il cui ranking ha beneficiato delle attività di Gooligan sono già state rimosse da Google Play.

Infine Checkpoint ha stilato un elenco di applicazioni manifestamente infettate da Gooligan.

I consigli di sicurezza di G DATA

  • La protezione più efficace è l’uso di una versione Android aggiornata, priva quindi delle falle sfruttate da Gooligan. Dal momento che questo non è sempre possibile, è necessario fare attenzione quando si utilizzano applicazioni scaricate da fonti non ufficiali. Come rilevato dai ricercatori G DATA infatti, un quarto delle applicazioni presenti su piattaforme di terzi è infetto.
  • Particolare cautela è consigliata se uno smartphone o un tablet, appartenente alle categorie di rischio di cui sopra, viene utilizzato in un ambiente business. A seconda del modo in cui i dati sono archiviati e elaborati su tali dispositivi, possono essere accessibili a persone non autorizzate.
  • L’installazione di una protezione efficace contro i malware sui dispositivi mobili non è quindi solo un extra ma un must. Questo vale sia per i privati sia in azienda.

—–

* Token di autenticazione

Il token può essere paragonato al tipico badge di un dipendente. Il vettore della scheda può muoversi con essa nell’edificio, senza doversi legittimare ulteriormente. Qualora tale badge venga rubato, il ladro potrà muoversi altrettanto liberamente nell’edificio come il legittimo detentore del badge, beneficiando degli stessi privilegi di accesso del derubato.

Continua a leggere