Gooligan malware besmet ruim 1 miljoen Android apparaten
Een nieuwe vorm van Android malware blijkt inmiddels ruim 1 miljoen Android apparaten te hebben besmet en de inloggegevens van ruim 1 miljoen Google accounts te hebben gestolen. De malware heet Gooligan en verspreidt zich via onofficiële appwinkels.
De malware is ontdekt door beveiligingsbedrijf Check Point. Op geïnfecteerde apparaten zoekt Gooligan naar e-mailadressen en authentificatietokens. Deze combinatie geeft aanvallers de mogelijkheid in te loggen op Google diensten die op de Android smartphone worden gebruikt, zoals Gmail, Google Drive en Google Docs.
Onofficiële appwinkels
Gooligan wordt verspreidt via onofficiële appwinkels, waar de malware verstopt zit in legitiem ogende apps. Door sms-berichten met linkjes naar deze malafide apps te versturen proberen de aanvallers achter Gooligan de verspreiding van de app te bevorderen. Dagelijks worden naar schatting 13.000 nieuwe apparaten met de malware besmet.
De malware maakt misbruik van twee beveiligingslekken in Android die uit respectievelijk 2013 en 2014 stammen. Via deze kwetsbaarheden wordt het apparaat van slachtoffers geroot. Vooral apparaten die op Android 4 Jelly Bean of KitKat of Android 5 Lollipop draaien zijn kwetsbaar.
Inloggegevens stelen en apps downloaden
Eenmaal actief op een Android apparaat download de malware een aanvullende module die het mogelijk maakt gegevens van het Google account te stelen. Daarnaast installeert de malware automatisch verschillende apps die in Google Play worden aangeboden, waarna deze apps via het besmette apparaat een positieve beoordeling krijgen. Voor deze praktijk krijgen de aanvallers betaald. In totaal zouden via deze methode dagelijks 30.000 apps op besmette Android apparaten worden geïnstalleerd.
De malware maakt voornamelijk in Azië slachtoffers; 57% van alle besmette apparaten bevindt zich in dit continent. Europa volgt op afstand met 9%. Google heeft inmiddels maatregelen genomen en de tokens van getroffen Google accounts ingetrokken. Daarnaast zijn getroffen gebruikers geïnformeerd. Ook is de Verify Apps-technologie aangepast die automatisch apps die uit andere bronnen dan Google Play worden gedownload scant op malware. Tot slot zijn alle apps die verband zijn gebracht met de malware uit Google Play verwijderd.
Is mijn apparaat besmet?
Check Point stelt een website beschikbaar waar Android gebruikers kunnen controleren of hun Android apparaat besmet is met Gooligan. Hiervoor vraagt het bedrijf gebruikers overigens hun e-mailadres op te geven.
Meer over
Lees ook
Proofpoint: Cybercriminelen bereiden zich voor op een wereld zonder macro's
Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.
Wat te doen als je het slachtoffer wordt van een ransomware-aanval
Als je een IT-beheerder vraagt waar hij van wakker ligt zal het antwoord zeer vaak ‘ransomware’ zijn. Logisch, want elke medewerker kan door simpelweg op een link te klikken of een kwaadaardig bestand te downloaden zonder het te weten een ransomware-aanval ontketenen. In hun wanhoop zijn organisaties al snel geneigd om losgeld te betalen om weer t1
Ransomwarebesmettingen eerste kwartaal al verdubbeld ten opzichte van 2021
Het totale aantal ransomwarebesmettingen was in het eerste kwartaal van dit jaar al verdubbeld ten opzichte van heel 2021. Dat concludeert WatchGuard Technologies in de nieuwste editie van het Internet Security Report. De securityspecialist signaleert daarnaast een groei in Powerscript-aanvallen en kwaadaardige cryptomining.