Firma Check Point ujawniła największe naruszenie danych kont Google, spowodowanych przez kampanię, która infekuje ponad 13 tys. urządzeń dziennie.
Gooligan, czyli nowa kampania malware rootuje urządzenia z Androidem, wykrada adresy e-mail oraz ich tokeny autoryzacyjne – informuje firma Check Point Software Technologies, która odkryła i ujawniła nowy wariant malware atakujący urządzenia z systemem Google’a. Z tego typu informacjami, hakerzy mogą uzyskać dostęp do wrażliwych danych użytkownika z Gmaila, Zdjęć Google, Dokumentów Google czy sklepu Google Play.
Firma Check Point po odkryciu podatności natychmiast poinformowała o sprawie dział bezpieczeństwa Google’a, udzielając przy tym wszelkich niezbędnych wskazówek dotyczących kampanii.
Doceniamy partnerstwo z Check Pointem, które pozwala nam na wspólną pracę nad zrozumieniem i podjęciem odpowiednich działań w tej kwestii. W ramach naszych wysiłków nad ochroną użytkowników przed malware Ghost Push, podjęliśmy odpowiednie kroki by usprawnić bezpieczeństwo ekosystemu Android. Zdecydowaliśmy się na cofnięcie narażonym użytkownikom tokenów konta Google, zapewniając im jasne wskazania by zalogować się ponownie w bezpieczny sposób, wyłączyć wszelkie aplikacje związane z tym problemem, ustawić ciągłą weryfikację aplikacji, włączyć ulepszenia SafetyNet w celu ochrony użytkowników przed tego typu problemami w przyszłości, a także współpracować z dostawcami usług telekomunikacyjnych w celu wspólnego rozwiązania problemu. – informuje Adrian Ludwig, dyrektor departamentu bezpieczeństwa systemu Android w Google.
Jak informują eksperci Check Pointa, kampania każdego dnia infekuje około 13 tys. urządzeń i jest pierwszą która doprowadziła do zrootowania ponad miliona urządzeń, łamiąc konta mailowe nie tylko użytkowników indywidualnych, ale również agencji rządowych, instytucji edukacyjnych, firm finansowych oraz spółek giełdowych.
Gooligan namierza urządzenia z Androidem 4 (Jelly Bean i KitKat) oraz 5 (Lollipop), które reprezentują blisko 74% używanych urządzeń z systemem Google’a. Oznacza to, że potencjalnym celem hakerów może być nawet miliard smartfonów i tabletów! Co ciekawe, po przejęciu kontroli nad urządzeniem napastnicy generują zyski instalując na nim „oszukańcze” aplikacje ze sklepu Google Play oraz oceniają je w imieniu ofiary. Jak wskazują dane, każdego dnia Gooligan instaluje co najmniej 30 tys. aplikacji na zainfekowanych urządzeniach, natomiast od momentu rozpoczęcia kampanii zainstalowano ponad 2 miliony niechcianych aplikacji!
Wydział badań nad urządzeniami mobilnymi firmy Check Point po raz pierwszy napotkał kod Gooligana w szkodliwej aplikacji SnapPea app już w zeszłym roku. W sierpniu 2016, malware pojawił się ponownie w nowym wariancie infekując 13 tys. urządzeń dziennie. Zdecydowana większość, bo aż 57% zainfekowanych urządzeń znajduje się w Azji, natomiast w Europie około 9%. Infekcja dokonuje się dwutorowo: przez ściągnięcie i zainstalowanie aplikacji z kodem Gooligan lub przez kliknięcie w szkodliwy link podczas ataku phishingowego.
– Ta kradzież ponad miliona danych kont Google’a nie ma precedensu i stanowi kolejny etap dla cyberataków – mówi Michael Shaulov z firmy Check Point Software Technologies – Obserwujemy zmiany w strategii hakerów, którzy obecnie skupiają się na urządzeniach mobilnych w celu wydobycia z nich danych poufnych ofiary.
Dla wszystkich obawiających się o swoje dane, Check Point stworzył narzędzie online pozwalające użytkownikom Androida sprawdzić czy ich konto zostało naruszone. – Jeśli czyjeś konto zostało uznane za naruszone, należy bezzwłocznie zainstalować nową, czystą wersję systemu operacyjnego dla telefonu. Ten złożony proces nazywa się flashingiem i w takim przypadku rekomendujemy wyłączenie zainfekowanego urządzenia, a następnie dostarczenie go do certyfikowanego technika lub operatora sieci komórkowej w celu re-fleshingu – dodaje Shaulov.
