Podle manažera firmy Check Point pro Českou republiku Daniela Šafáře nemá malware Gooligan z hlediska objemu ukradených e-mailových účtů obdoby a označuje jej za další etapu kyberzločinu.
Malware podle analýzy každý den infikuje 13 tisíc zařízení. Jeho nebezpečí spočívá v tom, že na napadaném zařízení bez vědomí uživatele provede tzv. root, čímž získá administrátorská práva a přes uložené ověřovací tokeny proniká do e-mailových účtů na serverech Googlu.
Samotný malware se do telefonu dostane přes nakaženou aplikaci, případně přes nebezpečný odkaz v e-mailu nebo jiném komunikačním kanálu. Útočníci takto získávají přístup k citlivým datům a kromě e-mailové korespondence mohou libovolně nakládat také s dokumenty nebo fotkami na cloudu Googlu.
Zařízení s Marshmallow 6.0 a výše jsou v bezpečí
Ohrožena jsou všechna zařízení s Androidem využívající verzi 4 (Jelly Bean a KitKat) a 5.0 Lollipop. Ačkoli jde o starší sestavení systému, tak podle aktuálních dat ji v celosvětovém měřítku používají bezmála tři čtvrtiny všech aktivních androidích zařízení.
Krádeží osobních dat z e-mailových účtů nicméně aktivita kódu Gooligan nekončí. Hackeři totiž následně na infikovaných zařízeních instalují podvodné aplikace a těm následně udělují jménem uživatele nejvyšší hodnocení, čímž se takové tituly pak zdají být atraktivní i dalším lidem.
Denně je takto bez vědomí uživatelů přes Gooligan nainstalováno nejméně 30 tisíc aplikací a ze strany útočníků tímto dochází ke generování tržeb. Přepočteno na dosavadní dobu aktivity škodlivého kódu se dostáváme na více než dva miliony instalací.
Gooligan útočil i na české uživatele
Šetření společnosti Check Point identifikovalo malware Gooligan poprvé loni v aplikaci SnapPea, letos v srpnu pak kód udeřil v nové variantě. Přibližně 57 procent všech napadených zařízení je v Asii, na Evropu připadá asi devítiprocentní podíl. Malware ohrozil i české uživatele.
Check Point na svých stránkách nabízí on-line nástroj ke kontrole, zda došlo u vašeho e-mailu k narušení bezpečnosti.
Pokud došlo k infikování zařízení, pak vzhledem k provedení tzv. rootu nestačí uvést systém do továrního nastavení (tzv. hard reset). V takovém případě je nutné do zařízení znovu nahrát (tzv. flashnout) čistou verzi operační systému (ROM), kterou lze stáhnout z oficiálních stránek daného výrobce.
Google po odhalení této bezpečnostní hrozby kontaktoval postižené uživatele, zrušil jejich ověřovací klíče (tzv. tokeny) a z aplikačního portálu Google Play eliminoval škodlivým kódem infikované tituly. Do systému ověřování aplikací navíc byly přidány nové bezpečnostní vrstvy, které by měly snížit pravděpodobnost průniku infikované aplikace do nabídky.
