Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben
Der Trojaner soll Smartphones rooten und Authentifizierungs-Tokens von Google-Accounts kopieren. Über einen Online-Service kann man prüfen, ob das eigene Konto betroffen ist.
(Bild: Check Point)
Unbekannte Angreifer sollen mit der neu entdeckten Malware Gooligan infizierte Apps in App Stores von Dritt-Anbietern schmuggeln. Wer eine derartig präparierte App auf seinem Android-Smartphone installiert, öffnet Angreifern Tür und Tor, warnen Sicherheitsforscher von Check Point.
Infizierte Apps sollen sich zudem über Drive-by-Downloads verbreiten. Tagtäglich sollen die Angreifer 13.000 Geräte über diese Wege kompromittieren, führen die Sicherheitsforscher aus. Die meisten Übergriffe soll es bisher mit 57 Prozent in Asien gegeben haben. Neun Prozent der Vorfälle meldet Check Point für Europa.
Gooligan soll Smartphones mit den Versionen 4 (Jelly Bean, KitKat) und 5 (Lollipop) des Android-Betriebssystems rooten können. Damit das klappt, nutze Gooligan zwei Sicherheitslücken (CVE-2013-6282 und CVE-2014-3153) aus, erläutert Checkpoint. In ihrer Meldung zeigen sie einen Auszug von infizierten Apps.
Verschlüsselte Sandbox ausgehebelt
Ist der Übergriff erfolgreich, können Angreifer mit dem Geräten machen, was sie wollen: Die Root-Position gibt ihnen die zentrale Gewalt über das Smartphone. Neu ist der Root-Ansatz von Android-Geräten mittels Malware-Apps nicht – hier wurden aber erstmals Google-Konten über diesen Weg gekapert. Darunter sollen auch Accounts von etwa Regierungsbehörden fallen.
Die Authentifizierungs-Tokens für den Google-Account sperrt Android verschlüsselt in einer Sandbox ein. Doch mit Root-Rechten wird alles transparent und Gooligan kann einen lesbaren Token abziehen. Wer diesen besitzt, kann auf das zugehörige Google-Konto und die gesamten Google-Services zugreifen – dabei wird auch die Zwei-Faktor-Authentifizierung umgangen, erläutert Checkpoint.
Tokens mittlerweile widerrufen
Google versichert, dass sie betroffene Google-Nutzer benachrichtigt haben. Zudem sollen die abgezogenen Authentifizierungs-Tokens mittlerweile nicht mehr gültig sein.
Wer um seinen Google-Account fürchtet, kann auf einer Service-Webseite prüfen, ob sein Konto kompromittiert wurde. Ist das der Fall, sollte man zügig sein Passwort ändern und das infizierte Smartphone komplett zurücksetzen und neu flashen.
Infektionen seit Sommer 2016
Seit August dieses Jahres beobachten die Sicherheitsforscher eigenen Angaben zufolge rasant ansteigende Infektionsraten. Um die Malware-Kampagne zu finanzieren, soll Gooligan im Hintergrund auf legitime Werbung klicken und die beworbenen Apps auf Geräten installieren. Dafür kassieren die Drahtzieher eine Provision. Derzeit soll das bis zu zwei Millionen mal passiert sein. (des)
