Investigadores de segurança revelaram que depois de um intenso trabalho foi descoberta uma nova e alarmante campanha de malware. Este novo ataque, que se dá pelo nome de Gooligan, conseguiu abrir brechas de segurança em mais de 1 milhão de contas Google.
O número, contudo, continua a crescer dia após dia, sendo revelados diariamente 13 mil novos dispositivos afectados.
A empresa de segurança da Check Point acaba de anunciar que os seus investigadores de segurança descobriram uma nova variante de malware para Android que atacou mais de um milhão de contas Google. A nova campanha de malware, baptizada como “Gooligan”, faz rooting aos dispositivos Android e rouba endereços de email e credenciais de autenticação. Com esta informação, os atacantes conseguem aceder a dados sensíveis dos utilizadores guardados no Gmail, Google Photos, Google Docs, Google Play, Google Drive e G Suite.
Este roubo de dados de mais de um milhão de contas Google é extremamente alarmante e representa uma nova era do cibercrime. Estamos a observar uma mudança na estratégia dos hackers, que agora têm cada vez mais como alvo preferencial os dispositivos móveis, com o intuito de roubar informações sensíveis que neles estão armazenadas.
Afirma Michael Shaulov, responsável por soluções de segurança móvel da Check Point.
Gooligan – onde está a ser o foco do ataque?
Em números redondos, esta campanha está a afectar 13 mil dispositivos por dia e é a primeira a conseguir atacar mais de um milhão de dispositivos. A par disso, há centenas dos endereços de email que estão associados a contas empresariais em todo o mundo. O que aumenta exponencialmente o contágio.
O Gooligan tem como alvos os dispositivos com Android 4 (Jelly Bean, KitKat) e 5 (Lollipop), que representam perto de 74% de todos os dispositivos Android em utilização. Depois de os atacantes conseguirem obter o controlo sobre o dispositivo, geram receitas através da instalação fraudulenta de apps do Google Play, classificando-as em nome da vítima.
Todos os dias, o Gooligan instala pelo menos 30 mil apps nos dispositivos comprometidos, o que significa mais de dois milhões de apps desde o arranque desta campanha.
A empresa, logo que detectou esta nova ameaça, contactou a equipa de segurança da Google para os informar acerca da campanha. A Google reagiu de imediato, referindo que esta cooperação entre as duas empresas permite uma acção feroz e mais rápida defendendo os utilizadores da família de malware Ghost Push.
A empresa americana refere, pela voz de Adrian Ludwig, diretor de segurança Android da Google, que tomou inúmeras medidas para proteger os nossos utilizadores e melhorar a segurança do ecossistema Android como um todo. Entre outras medidas, a Google contactou todos os utilizadores afectados e revogou as suas credenciais de acesso, removendo ainda as apps associadas à família Ghost Push da sua loja oficial Google Play e adicionando novas protecções à sua tecnologia Verify Apps.
Gooligan foi detectado na app maliciosa SnapPea
A Equipa de Investigação da Check Point dedicada aos dispositivos móveis, encontrou pela primeira vez vestígios do código do Gooligan na app maliciosa SnapPea no ano passado. Em Agosto de 2016, o malware reapareceu com esta nova variante e, desde então, infectou pelo menos 13 mil dispositivos por dia. Acerca de 57% destes dispositivos estão localizados na Ásia e cerca de 9% na Europa. Centenas dos e-mails expostos estão associados a empresas de todo o mundo.
Mas como começa a propagação do malware?
A infecção começa quando o utilizador faz o download e instala uma app infectada com o Gooligan num dispositivo Android vulnerável, ou clica num link malicioso numa mensagem de phishing (que maioritariamente chega por email).
Depois, os criminosos podem ter acesso a tokens que são importantes na acreditação dos utilizadores ao ecossistema Google.
Verifique se está infectado
A Check Point está a disponibilizar uma ferramenta online gratuita que permite aos utilizadores verificar se as suas contas do Google foram ou não afectadas – ver aqui.
“Se a sua conta foi atacada, é aconselhável que reinstale o sistema operativo do seu dispositivo. Este processo complexo chama-se flashing e, por isso, recomendamos que comece por desligar o dispositivo e levá-lo a um técnico certificado para proceder a esta operação”, aconselha Shaulov.
Via: Check Point