Brutális mennyiségű okostelefont fertőzött meg egy vírus

Akár egymillió Google fiókot is kiszolgáltatottá tehetett a Gooligan névre keresztelt androidos károkozó. A Google már megtette a szükséges lépéseket, de rengeteg fertőzött készülék lehet világszerte.
 
hirdetés
A Check Point még tavaly a SnapPea nevű alkalmazás vizsgálatakor egy kártékony kódot mutatott ki, amit Gooligan névvel illetett. Akkor ez a károkozó nem keltett különösebben nagy hírverést, és úgy tűnt, hogy nem is lesz hosszú életű. Aztán idén augusztusban ismét felütötte a fejét egy új variáns formájában, amely azóta igen komoly kiterjedésű támadást intézett az androidos okostelefonok és tábalgépek ellen. A legfrissebb elemzések azt mutatják, hogy az áldozatául eső készülékek száma meghaladthatja az egymilliót. A fertőzött eszközök száma nyár óta minden egyes nap átlagosan 13 ezerrel nőtt.
 
Így fertőz a károkozó
 
A trójai az Android 4 (Jelly Bean, KitKat), illetve az Android 5 (Lollipop) operációs rendszerekre épülő készülékek ostromlására alkalmas, ami azt jelenti, hogy a jelenlegi androidos eszközök 74 százalékára veszélyt jelent.
 
Alkalmazásáruházakból és kártékony weboldalakról is rákerülhet az okostelefonokra, tabletekre. Amikor ez megtörténik, és a felhasználó megadja számára az alapvető engedélyeket, akkor onnantól kezdve teljes mértékben kiszolgáltatottá teszi a mobilokat. Olya annyira, hogy két régi (VROOT, Towelroot) sérülékenységen keresztül rootolást is végez, aminek következtében minden rendszererőforráshoz hozzáférést kap, és az eltávolítása is körülményessé válik.
 
A root jogok megszerzését követően a vezérlőszerveréről letölt egy ártalmas modult, és feltelepíti azt. Ennek segítségével először e-mail címeket és a Google rendszereihez használt authentikációs tokeneket szivárogtatja ki. Ezekkel a csalók hozzáférést szerezhetnek a felhasználó Gmail, Google Photos, Google Docs, Google Play, Google Drive vagy akár a G Suite rendszerekben tárolt adataihoz, tartalmaihoz. Ennyivel azonban nem éri be a trójai, ugyanis további alkalmazásokat tölt le a készülékekre, amelyeket a felhasználó tudta nélkül, de annak nevében értékel a Google Play áruházban. Így különféle - akár ártalmas - programok esetében képes azt a látszatott kelteni, hogy az adott szoftverrel mindenki elégedett.


Értékel a károkozó - Forrás: Check Point
 
A Gooligan további kockázata, hogy reklámprogramokkal is el tudja halmozni a fertőzött mobilokat. Ezek pedig sok bosszúságot okozhatnak a felhasználók számára az állandóan felbukkanó hirdetések miatt.
 
A Check Point telemetriai adatai szerint a Gooligan eddig elsősorban Ázsiában hódított, de más kontinensekre is eljutott.

"Az egymillió Google fiókhoz való hozzáférés, és a nagy adatlopás arra hívja fel a figyelmet, hogy a kibertámadások egy újabb szakaszába léptünk. Elmozdulást látunk a kiberbűnözők stratégiájában, akik egyre intenzívebben támadják a mobil eszközöket annak reményében, hogy minél több érzékeny adathoz férnek hozzá"

- nyilatkozta Michael Shaulov, Check Point mobilbiztonsági termékekért felelős vezetője.


Forrás: Check Point
 
A Google a Ghost Push víruscsaládba sorolt Gooligan kapcsán úgy nyilatkozott, hogy már számos védelmi intézkedést foganatosított. Így értesítette azokat a felhasználókat, akiknek a felhasználói fiókja a trójai miatt veszélybe kerülhetett. Egyúttal az ezekhez tartozó tokeneket visszavonta. Mindezek mellett pedig számos olyan alkalmazást távolított el a Google Play áruházból, amelyek a károkozóhoz voltak köthetők.
 
A Check Point egy olyan weboldalt is létrehozott, amelyen e-mail cím alapján ellenőrizhető, hogy egy adott Google fiókot érintett-e a Gooligan ténykedése.
 

„Amennyiben egy felhasználó azt látja, hogy a fiókja érintett, akkor célszerű teljesen újratelepítenie a mobil eszközét. Ez egy komplex folyamat, mivel újra kell flash-elni az eszközt, ezért azt javasoljuk, hogy kérjék szakemberek vagy a mobil szolgáltatójuk segítségét"

- tette hozzá Shaulov.
Vélemények
 
  1. 4

    A Trend Micro számos biztonsági hibáról számolt be.

  2. 3

    A Xen egy memóriakezelési rendellenesség következtében válaszképtelenné válhat.

  3. 4

    Az OpenSSL komolyabb kockázatok felvető sebezhetőség miatt szorul frissítésre.

 
Partnerhírek
​Flash Player frissítésnek álcázott androidos trójai

Az ESET szakemberei felfedeztek egy androidos eszközöket támadó veszélyes alkalmazást. Az Agent.JI trójai program feltört weboldalakon keresztül, Flash Player frissítésnek álcázva terjed.

Az ESET elnyerte a 100. Virus Bulletin díjat

Az ESET elnyerte a 100. Virus Bulletin díjat a NOD32 termékkel. Ennyi VB100-at egyetlen másik termék sem kapott még a minősítő szervezettől.

hirdetés
Közösség
1