Onderzoekers hebben Androidmalware ontdekt die via onofficiële app stores wordt verspreid en meer dan 1 miljoen Androidtoestellen heeft besmet en geroot, alsmede gegevens van meer dan 1 miljoen Google-accounts heeft gestolen. De malware wordt door beveiligingsbedrijf Check Point Gooligan genoemd.
Eenmaal actief steelt Gooligan e-mailadressen en authenticatietokens. Met deze informatie kunnen de aanvallers inloggen op allerlei Google-diensten van de gebruiker, zoals Gmail, Google Docs en Google Drive. De malware zit verstopt in tientallen legitiem lijkende apps die via onofficiële marktplaatsen worden aangeboden. Ook versturen de aanvallers sms-berichten met linkjes naar de apps. Beveiligingsexperts adviseren om alleen apps uit officiële app stores te downloaden, aangezien dit het risico op een besmette app verkleint.
Veel gebruikers blijken dit advies niet op te volgen, aangezien er elke dag 13.000 nieuwe Androidtoestellen met de malware besmet raken. Zodra de besmette app is gedownload wordt er van twee oude Androidlekken uit 2013 en 2014 gebruik gemaakt om het toestel te rooten. Het zijn met name toestellen die op Android 4 (Jelly Bean, KitKat) en 5 (Lollipop) draaien die risico lopen.
Nadat het toestel is geroot downloadt de malware een aanvullende module waarmee gegevens van het Google-account worden gestolen. Daarnaast installeert de malware allerlei apps van Google Play op het toestel en gebruikt het besmette toestel van de gebruiker om de beoordeling van de app te verhogen. Dagelijks zou de malware zo'n 30.000 apps installeren, waar de aanvallers voor worden betaald. Sinds de campagne begon zijn meer dan 2 miljoen apps op deze manier geïnstalleerd.
Na te zijn ingelicht heeft Google de getroffen gebruikers ingelicht en hun tokens ingetrokken. Verder zijn alle met de malware geassocieerde apps van Google Play verwijderd en is de beveiliging van de Verify Apps-technologie aangepast. Het grootste deel van de besmette toestellen bevindt zich in Azie (57%). Europa volgt op afstand met 9 procent.
Deze posting is gelocked. Reageren is niet meer mogelijk.