Gooligan: Android-Malware kapert eine Million Google-Accounts

1. Dezember 2016, 10:06
27 Postings

Gibt gefälschte App-Bewertungen ab und liefert zusätzliche Werbung aus – Google reagiert

Eine äußerst "erfolgreiche" Malware-Kampagne gegen Android hat Checkpoint aufgedeckt. Eine von den Sicherheitsforschern Gooligan benannte Malware hat sich auf mehr als einer Million Geräte mit dem mobilen Betriebssystem eingenistet, und – besonders unerfreulich – die dort eingerichteten Google-Accounts gekapert.

Zielsetzung

Die hohe Zahl der Infektionen ergibt sich nicht zuletzt daraus, dass Gooligan offenbar recht lange unentdeckt bleiben konnte. Dies liegt nicht zuletzt daran, dass die Schadfunktionen der Software vergleichsweise zurückhaltend ausfallen. Der Zugriff auf den Google-Account der Nutzer wurde nämlich nicht zum Diebstahl privater Daten aus Gmail, Google Photos und Co. genutzt, wie es theoretisch möglich wäre, sondern lediglich um zusätzliche Apps aus dem Play Store herunterzuladen und dann gefälschte Bewertungen für diese abzugeben, um einzelne Apps zu pushen. Ähnlich wie bei früherer Schadsoftware wie HummingBad wurden dabei Techniken verwendet, die eine "normale" User-Interaktion nachbilden, um eine Entdeckung zu verhindern. Parallel dazu hat Gooligan zum Teil auch Adware auf den Geräten installiert, die zusätzliche Einnahmen für die Angreifer lukrieren soll.

Low Hanging Fruits

Trotzdem ist es durchaus besorgniserregend, mit welch einfachen Mitteln, die Angreifer eine solch hohe Zahl an Geräten übernehmen konnten. Betrachtet man den Angriffsweg, zeigt sich nämlich schnell, dass hier bewusst die einfachsten Opfer anvisiert wurden. Die Infektion mit Gooligan erfolgt üblicherweise, indem die User eine mit der Schadsoftware infizierte App manuell auf ihren Geräten installieren, entweder weil sie sich diese selbst besorgen oder weil sie auf eine Phishing-Kampagne auf zweifelhaften Webseiten hereinfallen. In Googles Play Store hat es Gooligan hingegen nie geschafft, wer sich nur auf diesen als Quelle verlässt, ist also nicht gefährdet.

foto: checkpoint

Alt bekannte Exploits

Zum Verankern im Betriebssystem bedient sich die Malware ebenfalls wohl bekannter Tricks, darunter etwa die Root-Exploits VROOT oder Towelroot, die bereits seit 2013 respektive 2014 bekannt sind. Auch die restlichen von Gooligan genutzten Schadfunktionen lassen sich lediglich auf nicht mehr aktuellen Android-Ausgaben (bis maximal Android 5) nutzen, hier setzt man also auf die mangelhafte Update-Politik vieler Hersteller.

Die regionale Verbreitung von Gooligan liefert das gewohnte Bild für jenseits des Play Stores kursierende Malware. Mehr als die Hälfte (57 Prozent) aller infizierten Geräte befinden sich laut Checkpoint in Asien, wobei üblicherweise China aufgrund dessen, dass es dort keinen Play Store gibt, einen großen Anteil einnimmt. Auf Europa entfallen hingegen "nur" 9 Prozent.

foto: checkpoint

Check

Wer testen will, ob der eigene Google-Account von der Attacke betroffen ist, kann dies über eine eigene von den Sicherheitsdienstleistern zur Verfügung gestellte Webseite. Zusätzlich hat mittlerweile auch Google auf die Bedrohung reagiert, wie Android-Sicherheitschef Adrian Ludwig in einem eigenen Beitrag auf Google+ ausführt. Die Verify Apps-Funktion, die bei allen Android-Geräten ab Android 4.2 standardmäßig aktiviert ist, entdeckt nun Gooligan und blockiert jegliche Installationsversuche. Zudem werden bereits infizierte Nutzer über das Vorhandensein der Malware auf ihren Geräten informiert, und Google hat bei den betreffenden Accounts das Authentifizierungs-Token entzogen, so dass sich die User neu anmelden müssen, und die Malware ausgesperrt wird. Darüber hinaus wurden sämtliche Apps, die mittels Gooligan gepusht wurden, aus dem Play Store entfernt, um hier ein klares Signal zu senden, und den Anreiz für ähnliche Angriffe in der Zukunft zu reduzieren.

Ausblick

Zudem betont Google, dass solche Angriffe mit neueren Android-Versionen prinzipiell ins Leere laufen. Die Verified-Boot-Funktion, die seit Android 6.0 genutzt wird, sichert die Integrität des Systems, und verhindert so das unbemerkte Einnisten von Schadsoftware. Zudem kann über diese die Malware auch leicht wieder entfernt werden. Für die jetzt Betroffenen mit veralteter Softwareausstattung ist dies allerdings nur ein schwacher Trost, hilft bei diesen doch nur ein Neuaufspielen des Betriebssystems, um die Malware komplett zu entfernen. Und selbst wenn der Hersteller hierfür eigene Images anbietet, ist dies meist mit dem Gang in einen Reparaturshop und zusätzlichen Kosten verbunden. (Andreas Proschofsky, 1.12.2016)

  • Gooligan: Weit verbreitet trotz simpler Angriffsmethoden.
    foto: google

    Gooligan: Weit verbreitet trotz simpler Angriffsmethoden.

Share if you care.