Gooligan infecteert meer dan 1 miljoen Google-accounts

Er is een nieuwe Android-malware variant ontdekt en die heeft inmiddels al meer dan 1 miljoen Google-accounts geïnfecteerd. Zo heeft Check Point zojuist bekend gemaakt.

Deze nieuwe variant, genaamd Gooligan, root Android-apparaten en steelt e-mailadressen en authenticatie-tokens die op het apparaat zijn opgeslagen. Met deze informatie kunnen hackers vervolgens toegang krijgen tot gevoelige data van gebruikers in ondermeer Gmail, Google Photos, Google Docs, Google Play, Google Drive en G Suite.

“De diefstal van de gegevens van meer dan een miljoen Google-accounts is zeer alarmerend en vertegenwoordigt een nieuwe fase in cyberaanvallen,” aldus Michael Shaulov, Check Point’s head of mobile products. Ze zien een verandering in de strategie van hackers waarbij ze zich steed vaker richten op mobiele apparaten om zo gevoelige informatie te stelen die is opgeslagen op die apparaten. Inmiddels staat het totale aantal al op meer dan een miljoen geïnfecteerde apparaten.

Gooligan gebruikt een agressieve variant van Ghostpush Android malware waarmee iedere dag 13.000 nieuwe devices worden geïnfecteerd. De malware richt zich vooral op devices met Android 4 (Jelly Bean, KitKat) en 5 (Lollipop). Maar deze vertegenwoordigen samen wel ruim 70% van alle toestellen die vandaag de dag draaien op Android.

En nadat hackers controle hebben gekregen over het apparaat, genereren ze omzet door apps uit Google Play te installeren. Iedere dag installeert Gooligan minstens 30.000 apps op de verschillende geïnfecteerde apparaten, dat zijn al meer dan 2 miljoen apps sinds de malware-campagne van start is gegaan.

Het security-team van Google werkt nauw samen met Check Point om de bron van de Gooligan-campagne op te sporen.

Het Google security-team is inmiddels ingelicht over de malware-aanval. “We waarderen de samenwerking met Check Point en hebben actie hiertegen ondernomen. Als onderdeel van onze voortdurende inspanningen om gebruikers te beschermen tegen de Ghost Push malware-familie hebben we ook stappen ondernomen om de overall security van het Android-ecosysteem te verbeteren”, aldus Adrian Ludwig, Google’s director of Android security.

Zo heeft Google onder meer geïnfecteerde gebruikers gecontacteerd, hun tokens ingetrokken en apps verwijderd die zijn gelieerd aan de Ghost Push-familie in Google Play. Daarnaast is nieuwe bescherming toegevoegd aan de Verify Apps-technologie.

Er is een gratis online tool beschikbaar waarmee gebruikers kunnen checken of hun account is gehacked.