Sikkerhetsselskapet Check Point og Google advarte i dag om en ny type skadevare som kan gjøre betydelig skade på mange Android-enheter. Den nye skadevarevarianten tilhører en skadevarekampanje som blir kalt for Gooligan.
Skadevaren skaffer seg rottilgang til enhetene ved å utnytte en sårbarhet. Ifølge Check Point er skadevare bare rettet mot Android 5.x («Lollipop») og eldre, men ifølge Google selv utgjør dette omtrent 75 prosent av Android-enhetene.
Utnytter Google-kontoen
Når rottilgangen er oppnådd, skaffer skadevaren seg tilgang til brukerens Google-konto ved å utnytte epostadresser og autentiseringsbevis som er lagret på enheten. Dette gjør at sikkerhetsmekanismer som tofaktor-autentisering ikke har noen betydning.
Ikke bare får den da tilgang til mye av det brukeren har lagret av data hos Google, inkludert epost, dokumenter og bilder.
Men ifølge Check Point installerer skadevaren også apper fra Google Play på enheten, samt legger igjen falske brukeranmeldelser i markedsplassen på vegne av brukeren.
Dette skaffer hackerne inntekter, men samtidig ødelegger det verdien av brukeranmeldelsene, som mange nok bruker som en del av vurderingen av om appen er verdt å laste ned. Spesielt ille kan det være dersom apper med skjult, ondsinnet funksjonalitet får spesielt gode brukeranmeldelser.
Les også: Ondsinnede kan få root-aksess i Android ved hjelp av «bit-flipping»
Reinstallasjon
Når enheten først har blitt infisert, er det ingen enkel måte å bli kvitt skadevaren på igjen. Det holder ikke med en vanlig tilbakestilling til fabrikkinnstillingene.
– Dersom kontoen din er angrepet, er det nødvendig med en helt ny installasjon av operativsystemet på den mobile enheten din. Dette er en kompleks prosess som kalles for flashing. Vi anbefaler at du skrur av enheten og kontakter sertifiserte fagfolk eller mobiloperatøren din for å få flashet enheten på nytt, sier Michael Shaulov, som er leder for mobilsikkerhetsprodukter hos Check Point, i en pressemelding.
Brukere av Nexus- og Pixel-enheter kan relativt enkelt reinstallere operativsystemet på sine enheter. Oppskriften finnes her. Men brukerne av nyere utgaver av disse enhetene, har nok i stor grad oppgradert dem til Android 6.0 eller nyere, som ikke skal være berørt av skadevaren.
Mer enn en million
Ifølge sikkerhetsselskapet har mer enn en million enheter blitt infisert av Gooligan-skadevare. Det skal være første gang at en skadevare har fått rottilgang på så mange enheter. Antallet øker nå med omtrent 13 000 om dagen. Men bare rundt 9 prosent av disse enhetene befinner seg i Europa, mens 57 prosent er i Asia.
– Tyveriet av mer enn en million Google-kontodetaljer er svært alarmerende og representerer det neste skrittet innen kyberangrep, sier Shaulov.
– Vi ser nå en endring i strategien til hackere, som nå retter angrep mot mobilenheter for å få tilgang til den følsomme informasjonen som er lagret på dem, sier han.
Leste du denne? Dette kan være Googles plan for å gi alle Android-brukere fersk funksjonalitet
Google bekrefter
– Vi setter pris på partnerskapet med Check Point og har samarbeidet for å forstå og håndtere disse problemene. Som en del av vår pågående innsats for å beskytte brukerne mot skadevarefamilien Ghost Push, har vi gjort en rekke tiltak for å beskytte brukerne våre og for å forbedre sikkerheten i hele Android-økosystemet, sier Google sikkerhetssjef for Android, Adrian Ludwig, i Check Points pressemelding.
Ifølge Google er Gooligan en variant av Ghost Push.
Check Point opplyser at støtte på koden til Gooligan allerede i fjor, i den ondsinnede appen SnapPea. Varianten som skaper trøbbel nå, skal ha dukket opp i august i år.
Google Play?
I et blogginnlegg skriver Check Point at de Gooligan-infiserte appene har blitt funnet i tredjeparts applikasjonsmarkedsplasser. Ingenting tyder på at de finnes i Google Play, som i alle fall norske Android-brukere stort sett benytter.
Etter at appene har blitt installert, laster de ned et rootkit. Dette tar i bruk velkjent angrepskode for å utnytte sårbarheter som har vært kjent i flere år. Men sårbarhetene eksisterer fortsatt i operativsystemet til enheter som ikke har mottatt sikkerhetsoppdateringer de siste årene.
Etter at rottilgangen er oppnådd, installeres ytterliger ondsinnet programvare på enhetene. Denne injiserer kode inn i prosessene til Google Play eller Google Mobile Service for å imitere brukeren. Men skadevaren installerer også adware for å generere inntekter.
I blogginnlegget har Check Point inkludert en liste med mer enn 80 ulike apper som skal inneholde Gooligan-koden.
Sikkerhetsselskapet skal også komme med et verktøy som kan benyttes av Google-brukere for å sjekke om deres Google-konto har blitt kompromittert.
Digi.no har bedt om ytterligere informasjon fra Google, men har så langt ikke fått svar. Men nevnte Ludwig har kommet med noe mer informasjon her.
Saken vil bli oppdatert dersom vi får tilgang på mer informasjon om denne saken.
Les også: Fant Kina-bakdør i nye Android-telefoner - uvisst hvor mange som er berørt