Gooligan: Over én million mobile enheder hacket af gammel Android-malware i nye klæder

30. november 2016 kl. 15:074
Gooligan: Over én million mobile enheder hacket af gammel Android-malware i nye klæder
Illustration: MI grafik.
En ny variant af malware er rettet mod mobile enheder med ældre Android-styresystemer. Malwaren figurerer lige nu kun i app-butikker fra tredje part.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Sikkerhedseksperter har afsløret en ny variant af en Android-malware, der indtil nu har fået adgang til mere end en million Google-konti. Malwaren, der er blevet døbt Gooligan, hacker tablets og smartphone, hvorefter malwaren stjæler e-mailadresser og godkendelsesnøgler.

Det fremgår af en pressemeddelelse, som sikkerhedsfirmaet Check Point netop har sendt ud.

Informationen giver hackerne adgang til Gmail, Google Photos, Google Docs, Google Play, Google Drive og G Suite.

I skrivende stund antages det, at malwaren inficerer mere end 13.000 Android-enheder om dagen. Gooligan angriber enheder med Jelly Bean og KitKat i Android 4 og Lollipop i Android 5.

Artiklen fortsætter efter annoncen

Michael Shaulov, der er chef for Check Points mobile produkter, finder den nye udvikling foruroligende.

»Tyveriet af informationer fra over en million Google-konti er meget foruroligende og udgør en ny udvikling inden for cyberangreb,« siger han og tilføjer:

»Vi ser et skifte i hackernes strategi, hvor de nu går efter mobile enheder til at få adgang til den fortrolige information, der er gemt på dem.«

Spreder sig via phishing og tredjeparts-apps

Den mobile forskningsenhed fra Check Point opdagede allerede sidste år Gooligan-koden i den ondsindede app Snappea. I august 2016 dukkede malwaren atter op i anden udgave. Det er denne udgave, der huserer lige nu.

Artiklen fortsætter efter annoncen

Infektionen starter i det øjeblik, en bruger downloader en Gooligan-inficeret applikation på en sårbar Android-enhed fra tredjeparts-app-butikker, eller ved at installere eksempelvis et sikkerhedspatch fra en phishing-besked.

Omkring 57 procent af de inficerede enheder befinder sig i Asien og ca. 9 procent i Europa. Det skyldes formentlig, at hackerne arbejder fra Asien, da tredjeparts-app-butikker er mere udbredt i Asien end i Europa.

Hackerne tjener penge ved at installere forskellige applikationer fra Google Play og anmelde dem på vegne af offeret. Gooligan installerer, på allerede hackede enheder, i gennemsnit 30.000 falske apps om dagen.

Indtil nu er applikationer fra Google Play ikke blevet inficeret, men Check Point skriver til Version2, at det er lykkedes tidligere versioner af samme type malware at infiltrere Google Play.

Artiklen fortsætter efter annoncen

Michael Shaulov fortæller, at det er nødvendigt at lave en ny installation af styresystemet, hvis ens enhed er inficeret.

»Denne komplekse manøvre kendes også som 'flashing', og vi anbefaler, at man slukker sin enhed og går til en certificeret tekniker eller teleudbyder, som kan hjælpe dig med at 'flashe' din enhed,« tilføjer Michael Shaulov.

Du kan finde ud af, om din enhed er hacket, her.

Check Point oplyser over for Version2, at der pr. 15. november er registreret 71 angreb i Danmark og ca. 330 i hele Norden.

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
1. december 2016 kl. 12:06

Hvad mener du med FUP adresse? Det er en side på checkpoint.com - eller er den blevet rettet?

3
1. december 2016 kl. 12:02

Er der nogen, der kan svare på hvordan <a href="https://gooligan.checkpoint.com/">https://gooligan.checkpoint.com/</a&gt; kan verificere om ens konto er blevet inficeret eller ej?

Ja, det undrer også mig, vil gerne se en teknisk forklaring på hvad der sker, inden jeg putter noget som helst ind i en form som denne.

Check Point og Google er påfaldende umeddelsomme angående dette, men i følge Android Police (http://www.androidpolice.com/2016/11/30/gooligan-android-malware-infected-1-million-android-phones-since-august/) har Check Point angiveligt fået fat i 1,3 mio. opsamlede access-tokens direkte fra C&C-serveren (aktivt modangreb?). Så måske de bare tjekker op mod denne liste?

The malware copies the user's account token and sends it to a remote server, giving the malware authors full access to the account data.
Security firm Check Point was able to trace this server and uncovered 1.3 million Google accounts.

Googles eneste udmelding hidtil (https://plus.google.com/+AdrianLudwig/posts/GXzJ8vaAFsi) nævner blandt andet at "Verify Apps"-funktionen burde advare om applikationer der er kendte for at sprede angrebet. En vejledning i at verificere om funktionen er slået til findes på https://support.google.com/accounts/answer/2812853.

Mikkel

2
1. december 2016 kl. 12:02

Det er utroligt at version2 linker til en FUP adresse. Du skal indtaste din email adresse, når du så har indtastet den, får du en masse spam. (Men du får ikke nogen som helst oplysninger om din adresse er inficeret)

1
1. december 2016 kl. 09:58

Endnu engang et vink med en vognstang om at man ikke skal åbne (generelt) for download fra (usikre) 3-part app-stores.

Er der nogen, der kan svare på hvordan https://gooligan.checkpoint.com/ kan verificere om ens konto er blevet inficeret eller ej?