Gooligan malware besmet ruim 1 miljoen Android apparaten
Een nieuwe vorm van Android malware blijkt inmiddels ruim 1 miljoen Android apparaten te hebben besmet en de inloggegevens van ruim 1 miljoen Google accounts te hebben gestolen. De malware heet Gooligan en verspreidt zich via onofficiële appwinkels.
De malware is ontdekt door beveiligingsbedrijf Check Point. Op geïnfecteerde apparaten zoekt Gooligan naar e-mailadressen en authentificatietokens. Deze combinatie geeft aanvallers de mogelijkheid in te loggen op Google diensten die op de Android smartphone worden gebruikt, zoals Gmail, Google Drive en Google Docs.
Onofficiële appwinkels
Gooligan wordt verspreidt via onofficiële appwinkels, waar de malware verstopt zit in legitiem ogende apps. Door sms-berichten met linkjes naar deze malafide apps te versturen proberen de aanvallers achter Gooligan de verspreiding van de app te bevorderen. Dagelijks worden naar schatting 13.000 nieuwe apparaten met de malware besmet.
De malware maakt misbruik van twee beveiligingslekken in Android die uit respectievelijk 2013 en 2014 stammen. Via deze kwetsbaarheden wordt het apparaat van slachtoffers geroot. Vooral apparaten die op Android 4 Jelly Bean of KitKat of Android 5 Lollipop draaien zijn kwetsbaar.
Inloggegevens stelen en apps downloaden
Eenmaal actief op een Android apparaat download de malware een aanvullende module die het mogelijk maakt gegevens van het Google account te stelen. Daarnaast installeert de malware automatisch verschillende apps die in Google Play worden aangeboden, waarna deze apps via het besmette apparaat een positieve beoordeling krijgen. Voor deze praktijk krijgen de aanvallers betaald. In totaal zouden via deze methode dagelijks 30.000 apps op besmette Android apparaten worden geïnstalleerd.
De malware maakt voornamelijk in Azië slachtoffers; 57% van alle besmette apparaten bevindt zich in dit continent. Europa volgt op afstand met 9%. Google heeft inmiddels maatregelen genomen en de tokens van getroffen Google accounts ingetrokken. Daarnaast zijn getroffen gebruikers geïnformeerd. Ook is de Verify Apps-technologie aangepast die automatisch apps die uit andere bronnen dan Google Play worden gedownload scant op malware. Tot slot zijn alle apps die verband zijn gebracht met de malware uit Google Play verwijderd.
Is mijn apparaat besmet?
Check Point stelt een website beschikbaar waar Android gebruikers kunnen controleren of hun Android apparaat besmet is met Gooligan. Hiervoor vraagt het bedrijf gebruikers overigens hun e-mailadres op te geven.
Meer over
Lees ook
Hoeveelheid malafide Android-apps bijna verviervoudigd in twee jaar tijd
De hoeveelheid malafide apps in Google's Play Store neemt in een hoog tempo toe. Het aantal malafide apps voor het Android-platform in Google's eigen appwinkel is tussen 2011 en 2013 met maar liefst 388 procent gestegen. Dit blijkt uit onderzoek van Risk IQ. Risk IQ is een bedrijf dat de inhoud van appwinkels in de gaten houdt om namaakvarianten v1
Klanten van Rabobank en ING zijn doelwit van nieuwe bankingtrojan
Klanten van de Rabobank en ING zijn doelwit van een nieuwe versie van de bankingtrojan Zeus. De trojan wordt verspreidt in JPG-afbeeldingen die overal op internet zijn geüpload. Hiervoor waarschuwt Jerome Segura van Malwarebytes, die samen met de Franse onderzoeker Xylitol de nieuwe malware heeft onderzocht. De onderzoekers hebben ontdekt dat alle1
Hackers verstoppen malware in RTF-documenten
Hackers verstoppen steeds vaker hun malware in RTF-documenten. Hiervoor waarschuwt in ieder geval beveiligingsbedrijf Trend Micro. De RTF-documenten worden voorzien van een embedded Control Panel (CPL)-bestand, die de malware naar de computer van het slachtoffer download. CPL-bestanden zijn bedoeld om informatie over de configuratie van het systee1