Gooligan: Over én million mobile enheder hacket af gammel Android-malware i nye klæder

Illustration: MI grafik
En ny variant af malware er rettet mod mobile enheder med ældre Android-styresystemer. Malwaren figurerer lige nu kun i app-butikker fra tredje part.

Sikkerhedseksperter har afsløret en ny variant af en Android-malware, der indtil nu har fået adgang til mere end en million Google-konti. Malwaren, der er blevet døbt Gooligan, hacker tablets og smartphone, hvorefter malwaren stjæler e-mailadresser og godkendelsesnøgler.

Det fremgår af en pressemeddelelse, som sikkerhedsfirmaet Check Point netop har sendt ud.

Informationen giver hackerne adgang til Gmail, Google Photos, Google Docs, Google Play, Google Drive og G Suite.

I skrivende stund antages det, at malwaren inficerer mere end 13.000 Android-enheder om dagen. Gooligan angriber enheder med Jelly Bean og KitKat i Android 4 og Lollipop i Android 5.

Michael Shaulov, der er chef for Check Points mobile produkter, finder den nye udvikling foruroligende.

»Tyveriet af informationer fra over en million Google-konti er meget foruroligende og udgør en ny udvikling inden for cyberangreb,« siger han og tilføjer:

»Vi ser et skifte i hackernes strategi, hvor de nu går efter mobile enheder til at få adgang til den fortrolige information, der er gemt på dem.«

Spreder sig via phishing og tredjeparts-apps

Den mobile forskningsenhed fra Check Point opdagede allerede sidste år Gooligan-koden i den ondsindede app Snappea. I august 2016 dukkede malwaren atter op i anden udgave. Det er denne udgave, der huserer lige nu.

Infektionen starter i det øjeblik, en bruger downloader en Gooligan-inficeret applikation på en sårbar Android-enhed fra tredjeparts-app-butikker, eller ved at installere eksempelvis et sikkerhedspatch fra en phishing-besked.

Omkring 57 procent af de inficerede enheder befinder sig i Asien og ca. 9 procent i Europa. Det skyldes formentlig, at hackerne arbejder fra Asien, da tredjeparts-app-butikker er mere udbredt i Asien end i Europa.

Hackerne tjener penge ved at installere forskellige applikationer fra Google Play og anmelde dem på vegne af offeret. Gooligan installerer, på allerede hackede enheder, i gennemsnit 30.000 falske apps om dagen.

Indtil nu er applikationer fra Google Play ikke blevet inficeret, men Check Point skriver til Version2, at det er lykkedes tidligere versioner af samme type malware at infiltrere Google Play.

Michael Shaulov fortæller, at det er nødvendigt at lave en ny installation af styresystemet, hvis ens enhed er inficeret.

»Denne komplekse manøvre kendes også som 'flashing', og vi anbefaler, at man slukker sin enhed og går til en certificeret tekniker eller teleudbyder, som kan hjælpe dig med at 'flashe' din enhed,« tilføjer Michael Shaulov.

Du kan finde ud af, om din enhed er hacket, her.

Check Point oplyser over for Version2, at der pr. 15. november er registreret 71 angreb i Danmark og ca. 330 i hele Norden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mikkel Kirkgaard Nielsen

Er der nogen, der kan svare på hvordan https://gooligan.checkpoint.com/ kan verificere om ens konto er blevet inficeret eller ej?

Ja, det undrer også mig, vil gerne se en teknisk forklaring på hvad der sker, inden jeg putter noget som helst ind i en form som denne.

Check Point og Google er påfaldende umeddelsomme angående dette, men i følge Android Police (http://www.androidpolice.com/2016/11/30/gooligan-android-malware-infecte...) har Check Point angiveligt fået fat i 1,3 mio. opsamlede access-tokens direkte fra C&C-serveren (aktivt modangreb?). Så måske de bare tjekker op mod denne liste?

The malware copies the user's account token and sends it to a remote server, giving the malware authors full access to the account data.
Security firm Check Point was able to trace this server and uncovered 1.3 million Google accounts.

Googles eneste udmelding hidtil (https://plus.google.com/+AdrianLudwig/posts/GXzJ8vaAFsi) nævner blandt andet at "Verify Apps"-funktionen burde advare om applikationer der er kendte for at sprede angrebet. En vejledning i at verificere om funktionen er slået til findes på https://support.google.com/accounts/answer/2812853.

Mikkel

  • 2
  • 0
Log ind eller Opret konto for at kommentere