Open Source im professionellen Einsatz

Gooligan: Eine Million Google-Accounts betroffen

Auf Android-Geräten richtet derzeit eine neue Malware namens Gooligan gehörigen Schaden an. Laut einem Bericht von Checkpoint werden täglich mehr als 13 000 Geräte neu infiziert. Die Infektion beginnt mit dem Download und der Installation einer Gooligin-infizierten App. Sobald die App installiert ist, startet sie die Kommunikation mit einem Command-and-Control (CC) Server. Zunächst wird dann via CC Server ein Android-Rootkit auf das Gerät geladen. Dieses nutzt verschiedene Android 4 und 5 Exploits aus, um Root-Zugriff zu erlangen. Beispielsweise kommen hier die VROOT- und Towelroot-Schwachstellen zum Einsatz.

Nachdem so Root-Zugriff hergestellt wurde, wird ein neues Model von dem CC-Server heruntergelanden. Dieses Modul ermöglicht es Gooligan dann folgende Aktionen durchzuführen:

  • das Stehlen von Google-Mail-Accounts und Authentication Tokens
  • Installation von Google Play Apps, um die Bewertung von Apps zu beeinflussen
  • Installation von Adware, um Werbeeinnahmen zu generieren

Besonders kritisch ist hier, dass es Angreifern durch Gooligan gelingt an Google Authentication Tokens zu gelangen. Damit erhalten sie direkt Zugriff auf die verschiedenen Google-Dienste wie Google Play, Gmail, Google Docs, Google Drive, und Google Photos.

Gooligan hat aktuell circa eine Million Google Accounts infizizert. Checkpoint hat eine spezielle Website eingerichtet, auf der Google-Anwender testen können, ob ihr Account betroffen ist. Dort wird lediglich die Gmail-Adresse abgefragt und das System überprüft anschliessend, ob der Account kompromittiert ist.

comments powered by Disqus

Ausgabe 06/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.