Check Point odhalil masivní narušení bezpečnosti účtů služeb společnosti Google. Nová kampaň Gooligan rootuje zařízení se systémem Android a krade e-mailové adresy a uložené ověřovací tokeny. S těmito informacemi mohou útočníci získat přístup k citlivým uživatelským datům z Gmailu, Fotek Google, Dokumentů Google, Google Play a G Suite.
Mobilní výzkumný tým Check Pointu poprvé zaznamenal Gooliganův kód ve škodlivé aplikaci SnapPea minulý rok. V srpnu 2016 se objevila nová varianta malwaru a od té doby infikoval denně minimálně 13 000 zařízení. Asi 57 % z těchto zařízení se nachází v Asii a asi 9 % v Evropě. Unikly informace o stovkách e mailových adres spojených se společnostmi z celého světa. K infikování zařízení dojde, pokud uživatel stáhne a nainstaluje Gooliganem nakaženou aplikaci na zranitelném zařízení se systémem Android nebo klikne na nebezpečný odkaz ve zprávě použité k phishingovému útoku.
Check Point s informacemi o kampani okamžitě informoval bezpečnostní tým Googlu. Ten následně kontaktoval postižené uživatele a zrušil jejich tokeny, odstranil aplikace spojené s malwarovou rodinou Ghost Push z Google Play a přidal nové vrstvy ochrany do technologie ověřování aplikací. Malware ohrozil i účty a zařízení českých uživatelů.
„Tato krádež informací o více než milionu účtů Googlu nemá obdoby a je to další etapa kybernetických útoků,“ říká Daniel Šafář, Country Manager pro Českou republiku a region CZR ve společnosti Check Point.
Check Point nabízí bezplatný online nástroj, který umožňuje uživatelům systému Android zkontrolovat, jestli byla narušena bezpečnost jejich účtu.
Klíčová zjištění:
– Kampaň infikuje 13 000 zařízení každý den a jako první způsobila root více než 1 milionu zařízení
– Stovky e-mailových adres jsou spojeny s podnikovými účty z celého světa.
Gooligan cílí na zařízení se systémem Android 4 (Jelly Bean, KitKat) a 5 (Lollipop), které představují téměř 74 % aktuálně používaných zařízení Android
– Jakmile útočníci získají kontrolu nad zařízením, generují tržby podvodným instalováním aplikací z Google Play a hodnotí je jménem obětí
– Každý den Gooligan instaluje na kompromitovaných zařízeních minimálně 30 000 aplikací, což je více než 2 miliony aplikací od začátku kampaně