ENGINEERINGNET.BE - De nieuwe malware-variant, genaamd Gooligan, root Android-apparaten en steelt e-mailadressen en authenticatie-tokens die op het apparaat zijn opgeslagen.
Met deze informatie hebben de aanvallers toegang tot gevoelige data van gebruikers in Gmail, Google Photos, Google Docs, Google Play, Google Drive en G Suite.
Dit zijn hun belangrijkste bevindingen:
- Malware-campagne infecteert dagelijks 13.000 devices en is de eerste die reeds meer dan een miljoen apparaten heeft geïnfecteerd.
- Gooligan richt zich op devices met Android 4 (Jelly Bean, KitKat) en 5 (Lollipop). Deze vertegenwoordigen bijna 74% van de Android-devices die in gebruik zijn vandaag de dag.
- Nadat aanvallers de controle hebben gekregen over het apparaat, genereren ze omzet door apps uit Google Play te installeren. Rating vindt uit naam van het slachtoffer plaats.
- Iedere dag installeert Gooligan minstens 30.000 apps op geïnfecteerde devices (meer dan 2 miljoen apps sinds de malware-campagne is gestart).
Check Point heeft direct het Google security-team ingelicht over de malware-aanval.
Adrian Ludwig, Google’s director of Android security:“Als onderdeel van onze voortdurende inspanningen om gebruikers te beschermen tegen de Ghost Push malware-familie hebben we ook stappen ondernomen om de overall security van het Android-ecosysteem te verbeteren.”
Zo heeft Google onder meer geïnfecteerde gebruikers gecontacteerd, hun tokens ingetrokken en apps verwijderd die zijn gelieerd aan de Ghost Push-familie in Google Play. Daarnaast is nieuwe bescherming toegevoegd aan de Verify Apps-technologie.
Check Point’s Mobile Research Team vond de Gooligan-code voor het eerst in de kwaadaardige SnapPea-app vorig jaar. In augustus 2016 kwam de malware terug in een nieuwe variant en heeft sindsdien minstens 13.000 devices per dag geïnfecteerd. Ongeveer 57% van de devices zijn gesitueerd in Azië en rond de 9% in Europa.
Honderden van de geïnfecteerde e-mailadressen zijn gelieerd aan bedrijven wereldwijd. De infectie start wanneer een gebruiker een met Gooligan geïnfecteerde app downloadt en installeert op een kwetsbaar Android-apparaat, of door te klikken op een geïnfecteerde link in een phishing-bericht.