Новый Android-зловред Gooligan атаковал более миллиона аккаунтов Google

Специалисты Check Point® Software Technologies Ltd. сегодня объявили об обнаружении нового Android-зловреда, взломавшего более миллиона аккаунтов Google. Новая вредоносная кампания получила название Gooligan. Зловред заражает устройства на платформе Android и крадет адреса электронной почты и данные для аутентификации, которые на них хранятся. С этой информацией хакеры могут получить доступ к конфиденциальным данным пользователей из приложений Gmail, Google Photos, Google Docs, Google Play, Google Drive, и G Suite.

 «Эта кража более миллиона аккаунтов Google очень настораживает, так как представляет собой новый этап в развитии кибератак, — комментирует Майкл Шаулов, глава направления мобильных продуктов Check Point Software Technologies. — Мы видим, как стратегия хакеров меняется в сторону получения секретной информации, хранящейся на мобильных устройствах».  

Ключевые результаты исследования Gooligan:

• Вредоносное ПО заражает 13 000 устройств ежедневно. Это первый зловред, который взломал более миллиона девайсов.
• Сотни украденных адресов электронной почты принадлежат международным корпорациям.
• Gooligan поражает устройства на платформе Android 4 (Jelly Bean, KitKat) и 5 (Lollipop), которые составляют около 74% всех Android-девайсов, используемых сегодня.
• После получения контроля над устройством, хакеры генерируют прибыль, скрытно устанавливая приложения из Google Play и выставляя им рейтинг от имени пользователя.
• Каждый день Gooligan устанавливает как минимум 30 000 приложений на взломанные девайсы. С момента запуска зловреда было установлено в общей сложности более двух миллионов приложений.

Check Point немедленно связался со службой безопасности Google, чтобы сообщить об этой атаке. «Мы высоко ценим партнерство с Check Point — мы вместе работали над тем, чтобы разобраться в этом вопросе и принять необходимые меры. Благодаря регулярным действиям по защите пользователей от семейства вредоносного ПО Ghost Push мы добились существенного улучшения безопасности экосистемы Android», — прокомментировал Андриан Людвиг, директор по безопасности Android, Google. Среди прочих мер Google также связался с пострадавшими пользователями и отозвал их аутентификационные данные, удалил приложения, связанные с вредоносной семьей Ghost Push, и добавил новые инструменты защиты в технологию Verify Apps.

Команда мобильных исследований Check Point Software Technologies впервые столкнулась с кодом Gooligan в зловредном приложении SnapPea в прошлом году. В августе 2016 вредоносное ПО вновь появилось в новой модификации, и с тех пор оно инфицировало порядка 13 000 устройств ежедневно. Примерно 57% этих устройств находятся в Азии и около 9% в Европе.

Сотни взломанных адресов электронной почты принадлежат компаниям по всему миру. Взлом происходит, когда пользователь скачивает и устанавливает приложение, зараженное Gooligan, на уязвимое устройство Android, или после нажатия вредоносных ссылок в фишинговых сообщениях.