Gooligan malware besmet ruim 1 miljoen Android apparaten
Een nieuwe vorm van Android malware blijkt inmiddels ruim 1 miljoen Android apparaten te hebben besmet en de inloggegevens van ruim 1 miljoen Google accounts te hebben gestolen. De malware heet Gooligan en verspreidt zich via onofficiële appwinkels.
De malware is ontdekt door beveiligingsbedrijf Check Point. Op geïnfecteerde apparaten zoekt Gooligan naar e-mailadressen en authentificatietokens. Deze combinatie geeft aanvallers de mogelijkheid in te loggen op Google diensten die op de Android smartphone worden gebruikt, zoals Gmail, Google Drive en Google Docs.
Onofficiële appwinkels
Gooligan wordt verspreidt via onofficiële appwinkels, waar de malware verstopt zit in legitiem ogende apps. Door sms-berichten met linkjes naar deze malafide apps te versturen proberen de aanvallers achter Gooligan de verspreiding van de app te bevorderen. Dagelijks worden naar schatting 13.000 nieuwe apparaten met de malware besmet.
De malware maakt misbruik van twee beveiligingslekken in Android die uit respectievelijk 2013 en 2014 stammen. Via deze kwetsbaarheden wordt het apparaat van slachtoffers geroot. Vooral apparaten die op Android 4 Jelly Bean of KitKat of Android 5 Lollipop draaien zijn kwetsbaar.
Inloggegevens stelen en apps downloaden
Eenmaal actief op een Android apparaat download de malware een aanvullende module die het mogelijk maakt gegevens van het Google account te stelen. Daarnaast installeert de malware automatisch verschillende apps die in Google Play worden aangeboden, waarna deze apps via het besmette apparaat een positieve beoordeling krijgen. Voor deze praktijk krijgen de aanvallers betaald. In totaal zouden via deze methode dagelijks 30.000 apps op besmette Android apparaten worden geïnstalleerd.
De malware maakt voornamelijk in Azië slachtoffers; 57% van alle besmette apparaten bevindt zich in dit continent. Europa volgt op afstand met 9%. Google heeft inmiddels maatregelen genomen en de tokens van getroffen Google accounts ingetrokken. Daarnaast zijn getroffen gebruikers geïnformeerd. Ook is de Verify Apps-technologie aangepast die automatisch apps die uit andere bronnen dan Google Play worden gedownload scant op malware. Tot slot zijn alle apps die verband zijn gebracht met de malware uit Google Play verwijderd.
Is mijn apparaat besmet?
Check Point stelt een website beschikbaar waar Android gebruikers kunnen controleren of hun Android apparaat besmet is met Gooligan. Hiervoor vraagt het bedrijf gebruikers overigens hun e-mailadres op te geven.
Meer over
Lees ook
WatchGuard’s Internet Security Report onthult nieuwe social-engineeringtrends
Phishers maken in toenemende mate gebruik van browsergebaseerde social-engineeringstrategieën. Daarnaast groeit de malware dat banden heeft met natiestaten. Ook nemen de hoeveelheid zerodaymalware en de zogenaamde ‘living-off-the-land attacks’ toe. Dat concludeert WatchGuard Technologies in zijn meest recente Internet Security Report (ISR).
Qualys Threat Research brengt 2,3 miljard kwetsbaarheden in IT-middelen aan het licht
Qualys detecteerde in 2022 wereldwijd meer dan 2,3 miljard kwetsbaarheden in IT-middelen. Cybercriminelen maken hier steeds opportunistischer en flexibeler misbruik van om succesvolle aanvallen uit te voeren. Dit blijkt uit het 2023 TruRisk Research Report van de Qualys Threat Unit (TRU)
WatchGuard’s Internet Security Report Q4 2022: fikse stijging endpoint-ransomware
Versleutelde verbindingen zijn de voorkeursmethode geworden voor het afleveren van malware. Daarnaast blijft malware die verband houdt met phishingcampagnes een aanhoudende bedreiging vormen. Dat concludeert WatchGuard Technologies in zijn meest recente Internet Security Report. Hoewel het onderzoek over het vierde kwartaal van 2022 een afname in1