Специалисты Check Point Software Technologies объявили об обнаружении нового Android-зловреда, взломавшего более миллиона аккаунтов Google. Новая вредоносная кампания получила название Gooligan. Зловред заражает устройства на платформе Android и крадет адреса электронной почты и данные для аутентификации, которые на них хранятся. С этой информацией хакеры могут получить доступ к конфиденциальным данным пользователей из приложений Gmail, Google Photos, Google Docs, Google Play, Google Drive, и G Suite.
«Эта кража более миллиона аккаунтов Google очень настораживает, так как представляет собой новый этап в развитии кибератак, — прокомментировал Майкл Шаулов, глава направления мобильных продуктов Check Point Software Technologies. — Мы видим, как стратегия хакеров меняется в сторону получения секретной информации, хранящейся на мобильных устройствах».
Ключевые результаты исследования Gooligan: вредоносное ПО заражает 13 000 устройств ежедневно (это первый зловред, который взломал более миллиона девайсов); сотни украденных адресов электронной почты принадлежат международным корпорациям; Gooligan поражает устройства на платформе Android 4 (Jelly Bean, KitKat) и 5 (Lollipop), которые составляют около 74% всех Android-девайсов, используемых сегодня; после получения контроля над устройством, хакеры генерируют прибыль, скрытно устанавливая приложения из Google Play и выставляя им рейтинг от имени пользователя; каждый день Gooligan устанавливает как минимум 30 000 приложений на взломанные девайсы. С момента запуска зловреда было установлено в общей сложности более двух миллионов приложений.
Check Point немедленно связался со службой безопасности Google, чтобы сообщить об этой атаке. «Мы высоко ценим партнерство с Check Point — мы вместе работали над тем, чтобы разобраться в этом вопросе и принять необходимые меры. Благодаря регулярным действиям по защите пользователей от семейства вредоносного ПО Ghost Push мы добились существенного улучшения безопасности экосистемы Android», — прокомментировал Андриан Людвиг, директор по безопасности Android, Google. Среди прочих мер Google также связался с пострадавшими пользователями и отозвал их аутентификационные данные, удалил приложения, связанные с вредоносной семьей Ghost Push, и добавил новые инструменты защиты в технологию Verify Apps.
Команда мобильных исследований Check Point Software Technologies впервые столкнулась с кодом Gooligan в зловредном приложении SnapPea в прошлом году. В августе 2016 вредоносное ПО вновь появилось в новой модификации, и с тех пор оно инфицировало порядка 13 000 устройств ежедневно. Примерно 57% этих устройств находятся в Азии и около 9% в Европе.
Сотни взломанных адресов электронной почты принадлежат компаниям по всему миру. Взлом происходит, когда пользователь скачивает и устанавливает приложение, зараженное Gooligan, на уязвимое устройство Android, или после нажатия вредоносных ссылок в фишинговых сообщениях.
Check Point предлагает бесплатную онлайн-утилиту, который позволяет пользователям проверить, был ли их аккаунт взломан. «Если ваша учетная запись была взломана, требуется переустановка операционной системы (flashing) на вашем мобильном устройстве. Процесс достаточно сложный, и мы рекомендуем выключить ваше устройство и обратиться к сертифицированным специалистам или к вашему сервис-провайдеру, чтобы обновить прошивку», — добавил г-н Шаулов.