Android Gooligan-Malware hackt 1 Million Google-Konten?

Android-Geräte werden durch eine neue Malware mit dem Namen Gooligan bedroht. Diese befällt täglich 13.000 neue Android-Geräte und hat (angeblich) bereits über 1 Million Google-Konten, die infizierten Android-Geräten zugeordnet sind, gehackt. So jedenfalls die Meldung des israelischen Sicherheitsanbieters Check Point. Nachtrag: Eine Ergänzung von Google ist angefügt worden – laut Google gibt es keine Anzeichen für gehackte Konten.


Anzeige

Die Information ist mir direkt vom israelischen Sicherheitsanbieter Check Point zugegangen. Die Malware wird im Rahmen der von Check Point Goolian getauften Kampagne verbreitet. Das Mobile-Security-Forschungsteam von Check Point fand den Gooligan-Code erstmals im vergangenen Jahr in der bösartigen App SnapPea. Im August 2016 tauchte die Malware mit einer neuen Variante erneut auf und infiziert seitdem mindestens 13.000 Geräte pro Tag.

Gooligan zielt auf Android 4 und Android 5

Gooligan zielt Geräte mit Android 4 (Jelly Bean, KitKat) und 5 (Lollipop), die fast 74 Prozent der heute genutzten Android-Geräte ausmachen. Die Infektion beginnt, sobald ein Nutzer eine mit Gooligan infizierte App auf ein gefährdetes Android-Gerät herunterlädt und installiert oder im Rahmen von Phishing-Angriffen auf bösartige Links in Nachrichten klickt.

Anmerkung: Es handelt sich wohl ausschließlich um Apps aus Drittanbieter-Stores, die nur dann installiert werden können, wenn unter Android die Option zur App-Installation aus unbekannten Quellen aktiviert wurde.

Geräte werden gerootet, Google-Konten übernommen

Die Gooligan-Schadsoftware in befallenen Apps rootet die infizierten Android-Geräte und stiehlt die auf ihnen gespeicherten E-Mail-Adressen und Authentifizierungs-Tokens. Diese Informationen ermöglichen Angreifern den Zugriff auf die sensiblen Daten der Nutzer von Gmail, Google Photos, Google Docs, Google Play und G Suite.

Gooligan
(Quelle: Check Point)

Hunderte der gehackten E-Mail-Adressen werden mit Regierungsbehörden, Bildungseinrichtungen, Finanzdienstleistern und börsennotierten Unternehmen in Zusammenhang gebracht. Die Angreifer erwirtschaften ihre Erträge, indem sie Apps von Google Play auf betrügerische Weise installieren und sie im Namen des Opfers bewerten, nachdem sie die Kontrolle über das Gerät erlangt haben.

Laut Check Point installiert Gooligan jeden Tag mindestens 30.000 Apps auf gehackten Geräten, d.h. über 2 Millionen Apps seit Beginn der Kampagne. Und es wurden über 1 Million Google-Konten seit Beginn der Kampagne gehackt.


Anzeige

Rund 57 Prozent dieser Geräte befinden sich in Asien, 9 Prozent in Europa. Check Point hat sich mit Informationen zu dieser Kampagne sofort an das Google-Sicherheitsteam gewendet.

Check Point stellt zudem ein kostenloses Online-Tool bereit, mit dem Android-Nutzer überprüfen können, ob ihr Google Konto gehackt wurde. Ist das Android-Gerät durch Googligan befallen, muss es durch eine saubere Installation des Betriebssystems (flashen des ROM) neu aufgesetzt werden. Das kann in der Regel nur durch Techniker oder mit entsprechenden Erfahrungen erfolgen. Weitere Informationen finden sich im Blog von Check Point.

Ergänzung: Die Antwort von Google

Die obigen Informationen stammen von Check Point. Zwischenzeitlich bin ich über Google+ auf einen Post von Adrian Ludwig (Google) gestoßen. Google verfolgt das Thema seit 2014 und gesteht zu, dass die Schad-Apps auf bekannte Lücken in älteren Android-Versionen, die nicht mehr geschlossen werden, zielen. Entscheidend ist aber wohl die Aussage:

  • No evidence of user data access: In addition to rolling back the application installs created by Ghost Push, we used automated tools to look for signs of other fraudulent activity within the affected Google accounts. None were found. The motivation behind Ghost Push is to promote apps, not steal information, and that held true for this variant.
  • No evidence of targeting: We used automated tools to evaluate whether specific users or groups of users were targeted. We found no evidence of targeting of specific users or enterprises, and less than 0.1% of affected accounts were GSuite customers. Ghost Push is opportunistically installing apps on older devices.

Google führt also aus, dass kein Hack von Google-Konten festgestellt werden konnte – was im Widerspruch zur Check Point-Aussage steht. Es sind, laut Google, auch keine Angriffe auf spezifische Nutzer oder Firmen festgestellt worden. Offenbar geht es den Malware-Autoren der Gooligan-Kampagne nur um die Installation der Apps.

Abschließende Anmerkung: Den Hinweis von Adrian Ludwig Device updates can help empfinde ich allerdings als Hohn. Ich habe hier einige Nexus-Geräte herumliegen, die alle keine Updates mehr erhalten – werde diese irgendwann auf CyanogenMod umstellen. In der Praxis heißt die obige Anweisung doch konkret: Wirf dein Gerät weg und kaufe ein neues Google-Android-Dingens. Denn Google gewährt nur eine kurze Zeit Updates für sein Zeugs – und Dritthersteller lassen die Anwender noch häufiger update-mäßig im Regen stehen.

Bei heise.de gibt es diesen Beitrag, der noch Details zu den Sicherheitslücke aufzeigt, aber nicht auf die Google-Stellungnahme eingeht. Ziemlich undurchsichtig das Ganze.


Anzeige


Dieser Beitrag wurde unter Android, Sicherheit abgelegt und mit Android, CheckPoint, Google, Hack, Malware, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.