Gooligan malware besmet ruim 1 miljoen Android apparaten
Een nieuwe vorm van Android malware blijkt inmiddels ruim 1 miljoen Android apparaten te hebben besmet en de inloggegevens van ruim 1 miljoen Google accounts te hebben gestolen. De malware heet Gooligan en verspreidt zich via onofficiële appwinkels.
De malware is ontdekt door beveiligingsbedrijf Check Point. Op geïnfecteerde apparaten zoekt Gooligan naar e-mailadressen en authentificatietokens. Deze combinatie geeft aanvallers de mogelijkheid in te loggen op Google diensten die op de Android smartphone worden gebruikt, zoals Gmail, Google Drive en Google Docs.
Onofficiële appwinkels
Gooligan wordt verspreidt via onofficiële appwinkels, waar de malware verstopt zit in legitiem ogende apps. Door sms-berichten met linkjes naar deze malafide apps te versturen proberen de aanvallers achter Gooligan de verspreiding van de app te bevorderen. Dagelijks worden naar schatting 13.000 nieuwe apparaten met de malware besmet.
De malware maakt misbruik van twee beveiligingslekken in Android die uit respectievelijk 2013 en 2014 stammen. Via deze kwetsbaarheden wordt het apparaat van slachtoffers geroot. Vooral apparaten die op Android 4 Jelly Bean of KitKat of Android 5 Lollipop draaien zijn kwetsbaar.
Inloggegevens stelen en apps downloaden
Eenmaal actief op een Android apparaat download de malware een aanvullende module die het mogelijk maakt gegevens van het Google account te stelen. Daarnaast installeert de malware automatisch verschillende apps die in Google Play worden aangeboden, waarna deze apps via het besmette apparaat een positieve beoordeling krijgen. Voor deze praktijk krijgen de aanvallers betaald. In totaal zouden via deze methode dagelijks 30.000 apps op besmette Android apparaten worden geïnstalleerd.
De malware maakt voornamelijk in Azië slachtoffers; 57% van alle besmette apparaten bevindt zich in dit continent. Europa volgt op afstand met 9%. Google heeft inmiddels maatregelen genomen en de tokens van getroffen Google accounts ingetrokken. Daarnaast zijn getroffen gebruikers geïnformeerd. Ook is de Verify Apps-technologie aangepast die automatisch apps die uit andere bronnen dan Google Play worden gedownload scant op malware. Tot slot zijn alle apps die verband zijn gebracht met de malware uit Google Play verwijderd.
Is mijn apparaat besmet?
Check Point stelt een website beschikbaar waar Android gebruikers kunnen controleren of hun Android apparaat besmet is met Gooligan. Hiervoor vraagt het bedrijf gebruikers overigens hun e-mailadres op te geven.
Meer over
Lees ook
Dreigingsactor 'BattleRoyal' gebruikt DarkGate-malware voor cybercriminele doeleinden
Onderzoekers van cybersecuritybedrijf Proofpoint publiceren vandaag onderzoek over de activiteiten van dreigingsactor 'Battle Royal'. Deze actor gebruikt DarkGate- en NetSupport-malware om controle te krijgen over geïnfecteerde hosts via meerdere verschillende aanvalsketens en social engineering technieken.
Recruiters slachtoffer van malware door lures van TA4557
Cybersecuritybedrijf Proofpoint brengt onderzoek naar buiten over nieuwe activiteit van TA4557. Dit is een financieel gemotiveerde dreigingsactor die bekend staat om het gebruik van lures met sollicitatiethema’s. Ook verspreidt het de More_Eggs backdoor, een strategische loop gemaakt voor het verlengen van de uitvoeringstijd wat de ontwijkingsmoge1
Fortinet waarschuwt voor online feestdagen-criminaliteit: vier veelgebruikte scams
Security leverancier Fortinet waarschuwt voor feestdagen-cyberscams en geeft een top 4 van veel gebruikte online-oplichtpraktijken. Sinterklaas en kerst komen eraan, en cybercriminelen zijn al druk bezig met het bedenken van slimme trucs waarmee ze dit winkelseizoen zelfs de meest beveiligingsbewuste consumenten om de tuin kunnen leiden. De feestd1