Beveiligingsbedrijf Check Point heeft een nieuwe malwarecampagne onthuld waarbij kwaadaardige apps worden gebruikt om Android-apparaten te rooten, Google-authenticatietokens te stelen en illegaal installatienummers te verzamelen en scores voor andere apps te beoordelen.
De malware, door Check Point "Gooligan" genoemd, gebruikt bekende kwetsbaarheden om root-toegang te krijgen - volledige controle - over apparaten met Android 4.x en 5.x, voordat deze wordt gebruikt om Google-accountnamen en authenticatietokens te stelen. Hierdoor konden de daders vervolgens op afstand andere apps van Google Play op de apparaten van slachtoffers installeren en in hun naam valse beoordelingen plaatsen.
In theorie heeft malware zoals deze, die is ontworpen om authenticatiegegevens te stelen, mogelijk toegang gekregen tot andere delen van Google-accounts, zoals Gmail of Foto's. Er is geen bewijs dat "Gooligan" zoiets deed - in plaats daarvan lijkt het te zijn gebouwd om geld te verdienen voor zijn makers via onwettige app-installaties.
Wat opvalt aan deze soort malware is het aantal getroffen accounts - volgens Check Point meer dan een miljoen sinds het begin van de campagne. Het merendeel - 57 procent - van deze accounts was volgens het bedrijf gecompromitteerd in Azië. Vervolgens waren de Amerika's met 19 procent, Afrika met 15 procent en Europa met 9 procent. Check Point heeft een site opgezet waar u kunt controleren of uw account wordt beïnvloed; Google zegt ook dat het iedereen bereikt die mogelijk is getroffen.
Vooruitlopend op de openbare aankondiging van vandaag hebben Google en Check Point samengewerkt om de beveiliging van Android te verbeteren.
We waarderen zowel het onderzoek van Check Point als hun samenwerking, omdat we hebben samengewerkt om deze problemen te begrijpen, "zei Adrian Ludwig, Google's directeur voor Android-beveiliging." Als onderdeel van onze voortdurende inspanningen om gebruikers te beschermen tegen de Ghost Push-familie van malware, hebben we talloze stappen genomen om onze gebruikers te beschermen en de beveiliging van het Android-ecosysteem in het algemeen te verbeteren."
Check Point merkt ook op dat de "Verify Apps" -technologie van Google is bijgewerkt om te kunnen omgaan met apps die dergelijke kwetsbaarheden gebruiken. Dat is belangrijk omdat, hoewel het geen apparaten helpt die al zijn gecompromitteerd, het toekomstige installaties op 92 procent van actieve Android-apparaten blokkeert, zelfs zonder de noodzaak van firmware-updates.
Net als andere app-gebaseerde exploits, beschermt de 'Verify Apps'-functie van Google nu 92 procent van de actieve apparaten tegen' Gooligan '.
"Verify Apps" is ingebouwd in Google Play Services en standaard ingeschakeld in Android 4.2 Jelly Bean - goed voor 92, 4 procent van de actieve apparaten, gebaseerd op de huidige cijfers. (In oudere versies kan het handmatig worden ingeschakeld.) Net als de rest van Play Services wordt het regelmatig op de achtergrond bijgewerkt en blokkeert het de installatie van kwaadaardige apps en kan het gebruikers adviseren om malware te verwijderen die er al is.
In nieuwere versies van Android zullen de onderliggende exploits die door "Gooligan" worden gebruikt voor root-apparaten zijn aangepakt via beveiligingspatches. Dus zo veel als een miljoen gecompromitteerde accounts klinkt, dit is ook een voorbeeld van de beveiligingsstrategie van Google voor app-gebaseerde malware die werkt zoals ontworpen, waardoor installaties van getroffen apps in het overgrote deel van het ecosysteem worden geblokkeerd.
Als u zich zorgen maakt dat uw account mogelijk is beïnvloed, kunt u de site van Check Point bezoeken. In de toekomst zorgen de bestaande beveiligingen van Google - een onderdeel van Play Services voor de afgelopen vier jaar - voor bescherming.
Update: Adrian Ludwig, de hoofdingenieur van Google voor Android-beveiliging, heeft een uitgebreide beschrijving van de achtergrond van de "Googlian" -aankondiging van vandaag, en wat Google daaraan doet, op Google+.
