Gooligan malware besmet ruim 1 miljoen Android apparaten

  1. 1 dec 2016
  2. 0 reacties

Een nieuwe vorm van Android malware blijkt inmiddels ruim 1 miljoen Android apparaten te hebben besmet en de inloggegevens van ruim 1 miljoen Google accounts te hebben gestolen. De malware heet Gooligan en verspreidt zich via onofficiële appwinkels.

De malware is ontdekt door beveiligingsbedrijf Check Point. Op geïnfecteerde apparaten zoekt Gooligan naar e-mailadressen en authentificatietokens. Deze combinatie geeft aanvallers de mogelijkheid in te loggen op Google diensten die op de Android smartphone worden gebruikt, zoals Gmail, Google Drive en Google Docs.

Onofficiële appwinkels

Gooligan wordt verspreidt via onofficiële appwinkels, waar de malware verstopt zit in legitiem ogende apps. Door sms-berichten met linkjes naar deze malafide apps te versturen proberen de aanvallers achter Gooligan de verspreiding van de app te bevorderen. Dagelijks worden naar schatting 13.000 nieuwe apparaten met de malware besmet.

De malware maakt misbruik van twee beveiligingslekken in Android die uit respectievelijk 2013 en 2014 stammen. Via deze kwetsbaarheden wordt het apparaat van slachtoffers geroot. Vooral apparaten die op Android 4 Jelly Bean of KitKat of Android 5 Lollipop draaien zijn kwetsbaar.

Inloggegevens stelen en apps downloaden

Eenmaal actief op een Android apparaat download de malware een aanvullende module die het mogelijk maakt gegevens van het Google account te stelen. Daarnaast installeert de malware automatisch verschillende apps die in Google Play worden aangeboden, waarna deze apps via het besmette apparaat een positieve beoordeling krijgen. Voor deze praktijk krijgen de aanvallers betaald. In totaal zouden via deze methode dagelijks 30.000 apps op besmette Android apparaten worden geïnstalleerd.

De malware maakt voornamelijk in Azië slachtoffers; 57% van alle besmette apparaten bevindt zich in dit continent. Europa volgt op afstand met 9%. Google heeft inmiddels maatregelen genomen en de tokens van getroffen Google accounts ingetrokken. Daarnaast zijn getroffen gebruikers geïnformeerd. Ook is de Verify Apps-technologie aangepast die automatisch apps die uit andere bronnen dan Google Play worden gedownload scant op malware. Tot slot zijn alle apps die verband zijn gebracht met de malware uit Google Play verwijderd.

Is mijn apparaat besmet?

Check Point stelt een website beschikbaar waar Android gebruikers kunnen controleren of hun Android apparaat besmet is met Gooligan. Hiervoor vraagt het bedrijf gebruikers overigens hun e-mailadres op te geven.

Meer over
Lees ook
'Bladabindi RAT infecteert 140.000 PC's per maand'

'Bladabindi RAT infecteert 140.000 PC's per maand'

De Bladabindi Remote Access Tool (RAT) blijkt snel in populariteit toe te zijn genomen. Cybercriminelen infecteerde in januari 2013 nog maar slechts zo'n 18.000 PC's. Dit aantal is in december 2013 toegenomen tot bijna 140.000 infecties per maand. Dit meldt Microsoft, dat zijn Malicious Software Removal Tool in het Windows-besturingssysteem heeft1

Kant-en-klare ransomware te koop voor slechts 100 dollar

Kant-en-klare ransomware te koop voor slechts 100 dollar

Een nieuwe vorm van ransomware is te koop op internet voor slechts 100 dollar. Het gaat om Power Locker, een alternatief voor de beruchte ransomware CryptoLocker. Power Locker, ook wel Prison Locker genoemd, is te koop op ondergrondse marktplaatsen voor cybercriminelen. Al langer is duidelijk dat cybercriminelen op internet allerlei kant-en-klare1