Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 61 reacties
Submitter: nickurt

Beveiligingsbedrijf Check Point heeft een nieuwe variant van bestaande malware gevonden, die het 'Gooligan' heeft genoemd. Deze Android-malware steelt authenticatietokens van Google-gebruikers en heeft volgens het bedrijf inmiddels meer dan een miljoen gebruikers getroffen.

Check Point stelt dat er op 'meer dan een miljoen Google-accounts is ingebroken' en dat het met Google heeft samengewerkt om de malware te onderzoeken. Adrian Ludwig, Googles directeur van het Android-beveiligingsteam, schrijft in een verklaring dat er geen aanwijzingen zijn dat er daadwerkelijk gegevens van gebruikers zijn gestolen. Google heeft de app-installaties op getroffen accounts teruggedraaid en onderzocht of er sprake was van andere kwaadaardige activiteit. Volgens Google zijn de personen achter de malware niet uit op accountinformatie, maar op het genereren van inkomsten door het installeren van apps die door clicks inkomsten genereren en die automatisch andere apps een positieve beoordeling geven.

In zijn blogpost gaat Check Point in op de werking van de malware, die voortkomt uit eerdere SnapPea- of GhostPush-malware en zich richt op Android-toestellen met versie 4.0 of 5.0 van het mobiele besturingssysteem. Daarmee zouden 74 procent van alle Android-toestellen kwetsbaar zijn. De malware verspreidt zich door appwinkels van derden buiten de officiële Play Store om. Daarnaast is het mogelijk om geïnfecteerd te raken door op links in phishing-berichten te klikken, aldus Check Point. Als de malware eenmaal op een toestel aanwezig is, downloadt deze een rootkit van een c2-server. Daarmee is root-toegang mogelijk door gebruik te maken van bekende technieken als Vroot en Towelroot.

Vervolgens gebruikt de malware een module om authenticatietokens van de Google-account te stelen. Deze geven volgens het bedrijf toegang tot verschillende Google-diensten, zoals Drive, Gmail, Photos en Docs. De malware gebruikt de tokens om via de Play Store adware te downloaden en apps te voorzien van positieve beoordelingen. Welke apps een positieve beoordeling moeten krijgen, blijkt uit informatie die van de c2-server afkomstig is. Check Point heeft een lijst bij zijn blogpost gevoegd waarop te zien is welke apps de Gooligan-malware verspreiden. Het bedrijf heeft eveneens een tool in het leven geroepen waarmee gebruikers kunnen controleren of hun account is getroffen, al is deze op het moment van schrijven niet beschikbaar. Bij een infectie raadt Check Point aan het apparaat opnieuw te flashen en het Google-wachtwoord aan te passen.

check point gooligan infographic

Moderatie-faq Wijzig weergave

Reacties (61)

Controleren maar:

You can check if your account is compromised by accessing the following web site that we created: https://gooligan.checkpoint.com/.
Wantrouwend als ik ben, klik ik daar natuurlijk ook niet op.. :)
Check Point is natuurlijk gewoon een gerenommeerde club, waar je met gerust hart een e-mailadres kunt achterlaten. Ik denk dat er heel wat minder gerenommeerdere clubs zijn die intussen de beschikking hebben over je e-mailadres.
Check Point is natuurlijk gewoon een gerenommeerde club,
WC eend

Hoe moet een gemiddelde burger nou weten dat het een gerenommeerde club is.?
Het zijn juist links in berichten die voor veel ellende zorgen.
Ik heb het artikel nog eens doorgelezen en snap je helemaal :)
Misschien is die o wel een Russische o of zo, of een of ander unicode-teken. Alleen naar een url kijken is vaak niet genoeg, zelfs als je weet wat het echte domein zou moeten zijn.
Link/url stond al in de tekst vermeld..
In de meeste gevallen is het simpel: "Problem exists between keyboard and chair" of in dit geval "Problem exists between screen and head" :+
Maar serieus, dit is een probleem op alle OSen. Uit onbetrouwbare bron downloaden en installeren brengt natuurlijk een risico met zich mee. Ja je kunt het OS dichttimmeren, maar er is altijd wel een kiertje. En dat grootste kiertje is de gebruiker.
Maar serieus, dit is een probleem op alle OSen

Nee, want niet op elk OS kun je een root-kit installeren. Op Windows zit je bijvoorbeeld in een dubbele sandbox. Success om van daaruit een authenticatie token te stelen. Dan moet je dus al een flinke hoeveelheid zero-days hebben om én uit de sandbox te komen, én een elevation of privilige te krijgen én daarna ook nog eens in te breken op het secure process van de authenticatie.

Op iOS is het ook niet zondermeer te doen.

Dit is wel degelijk het gebrek aan security in de binnenwerken van Android zelf die hier een grote rol speelt. Plus het feit dat op iOS en Windows updates regel zijn, en niet zoals bij Android uitzonderingen.
Maar Android heeft ook het sideloaden van apps standaard uit staan. Ook het gebruik van andere app stores is iets wat je echt zelf moet doen. Als mensen dan gewoon die security uitzetten, dan kan het alsnog. Als jij in fort Knox zit, maar je zet de deur open, dan heeft het fort weinig nut.

Over die dubbele sandbox kan ik niks zeggen dus dat zal! (Mooi trouwens :))
Het zal best dat het ene OS beter is in security en sandboxes, maar uiteindelijk is de gebruiker het grootste probleem dat wou ik meer zeggen :o
(Zelf geen Android btw, updatebeleid is idd het euvel)
Uit de blogpost van CheckPoint:
Our researchers first encountered Gooligan’s code in the malicious SnapPea app last year. At the time this malware was reported by several security vendors, and attributed to different malware families like Ghostpush, MonkeyTest, and Xinyinhe. By late 2015, the malware’s creators had gone mostly silent until the summer of 2016 when the malware reappeared with a more complex architecture that injects malicious code into Android system processes.
en
Check Point reached out to the Google Security team immediately with information on this campaign
Betekent dit dat ze als sinds afgelopen zomer op de hoogte zijn van deze issue?
Dit soort zaken bestaan al langer dan afgelopen zomer, het is niet moeilijk om ergens een APK te vinden buiten de playstore om die slechte dingen op je telefoon kan doen.
Yep, die befaamde 10 dagen voordat we informatie over actief misbruikte exploits bekend maken en andere Google Zero Day onzin is enkel regels voor anderen, en niet voor Google zelf.
Betekent dit dat ze als sinds afgelopen zomer op de hoogte zijn van deze issue?
nee.
Uit de blogpost van CheckPoint:
Check Point reached out to the Google Security team immediately with information on this campaign
Komt erop neer, ik ontdek nu dat jij op tweakers zit, en door naar je profiel te kijken kan ik zien vanaf wanneer je actief bent geweest. Google heeft aan de hand van backups, logs etc. kunnen achterhalen vermoed ik wanneer die gasten voor het eerst die malware begonnen te gebruiken.
Over dat plaatje... die percentages komen wel redelijk overeen met de verdeling van de wereldbevolking over de continenten. De wereldbevolking doet het dus overal even slecht.
Wat wel interessant is, is dat de verdeling van verschillende platforms dat niet is. In Amerika is de verdeling Android-iOS meer richting de 60-40, terwijl het in China bv meer 90-10 is. Tevens is het in landen als China veel normaler om op Android alternatieve stores te gebruiken, omdat zo ongeveer alle Google services geblokkeerd zijn.
Als je een veilige telefoon wilt zit je met een iPhone toch stukken beter lijkt het, of valt die conclusie hieruit niet te trekken?
Lees dit:
De malware verspreidt zich door appwinkels van derden buiten de officiële Play Store om
Zolang iedereen in de officiele play store blijft is er van dit security issue geen sprake. Het accepteren van apps buiten playstore vereist extra handeling (vink in instellingen, standaard uit).

Als je je iPhone jailbreakt ga je ook potentieel gezien meer risico aan.
Lees jij het zinnetje erna dan ook :+
Daarnaast is het mogelijk om geďnfecteerd te raken door op links in phishing-berichten te klikken, aldus Check Point.
Maar op onbetrouwbare links mag je nooit klikken. :P
Les 2 op internet dacht ik toch?
Wel een wijze les, maar absoluut geen excuus. "Had je maar niet op moeten klikken" is een dooddoener om sercurityproblemen te bagatelliseren en in de schuld van de gebruiker te schuiven.

Dat is wel anders als je naar de instellingen moet, "onbekende bronnen" moet aanvinken, waarschuwing moet accepteren: dan vind ik het eigen schuld.

Maar iets uitvoeren omdat de gebruiker er in 1 handeling op klikt? Dat is een bug.
Sja, maar gebruikers jankenhuilenbrullen wel als je ook maar iets aan rechten op de systemen inperkt om dit soort gebruikersfouten te voorkomen. Een keer een false positive in de spamfilters gehad? "Ja maar ik -moet- al die berichten ontvangen, dus zet dat filter uit voor me."

En vervolgens vreemd opkijken als er weer eens cryptolocker op verscheidene netwerkschijven staat die via een phishing mail is binnengekomen. Ik spreek helaas uit ervaring.
Tja niet iedereen is zo slim. Krijg dagelijks de vraag mail is dit spam? Mail ziet er als volgt uit: gemarkeerd als spam en onbekende afzender als bijlage invoice excel file.
Op een link klikken, installatie uit onbekende bron aanzetten en zelf de apk installeren: dat is vergelijkbaar met het risico wat je loopt als je uit een alternatieve (aziatische) downloadstore download.

Met andere woorden: het enige issue is dat de app als deze eenmaal door de gebruiker zelf is geinstalleerd op verouderde versies van android meer kan dan deze eigenlijk zou mogen, de aanvalsvector is dezelfde als altijd.

[Reactie gewijzigd door blouweKip op 30 november 2016 20:23]

Zolang iedereen in de officiele play store blijft is er van dit security issue geen sprake.
onzin natuurlijk want zowel in de Play Store als de Apple Store is meer dan eens malware gevonden.

Ook daar ben je dus niet 100% veilig
Daarom had ik ook over dit security issue. ;)
Apps alleen uit de Play Store installeren in combinatie met een beetje gezond verstand.
Mwah. Kan mij van een paar jaar geleden herinneren dat ik een wat oudere met haar eerste smartphone hielp. Ergens in een App kwam de tekst onderaan: Uw telefoon is geďnfecteerd. Klik hier. (of in het Engels, weet ik niet meer).
Ik kon haar nog net tegenhouden, maar zij dacht dat het een melding van Android was! En ja, zij heeft zeer gezond verstand, was zelfs professor geweest hoewel dat geen garantie van gezond hoeft te zijn ;)
Ik zie die meldingen niet eens meer maar als je geen verstand hiervan hebt is het wel erg moeilijk om kaf van koren te scheiden!
Heb je inderdaad gelijk in.

Misschien als aanvulling op het gezond verstand nog een adblocker :P
Ik snap niet waarom je -1 krijgt. Op iOS is het een pak complexer om een app te installeren buiten de App Store. Het is daar niet zo simpel om, zoals bij Android, een APK te downloaden en te installeren.

Hierboven stond iets in de trend van: "Problem exists between screen and head". Dat kan goed het geval zijn, daarom moeten sommige gebruikers extra beschermd worden en gewoon die mogelijkheid niet krijgen. Aangezien het bij iOS een pak moeilijker is, lijkt de gebruiker me een pak beter beschermd.
De gebruiker is precies even goed beschermd. Bij standaard instellingen, kan je geen APK's buiten de store om installeren. Zodra je daarmee gaat klooien, kan het wel.
Tja, maar het feit dat er een instelling is die met een simpele howto te doorlopen is en waarmee je dan geld bespaart op app-aankopen.. Bij iOS is dat vele malen moeilijker..
haha, dus jij vindt dat iOS veiliger is, doordat het lastiger is om er iets op te zetten? Dat klinkt als security by obscurity :)

Volgens mij is het grondbeginsel hier, dat als je zelf je verstand gebruikt, er niets aan de hand is. Op het moment dat je software uit twijfelachtige bronnen gaat installeren, dan weet je dat er een risico is, ongeacht hoeveel moeite het kost om te doen.
haha, dus jij vindt dat iOS veiliger is, doordat het lastiger is om er iets op te zetten? Dat klinkt als security by obscurity :)
Security through obscurity betekent dat de beveiliging gebaseerd is op het niet hebben van kennis van het algoritme. Goede (encyptie) algoritmes hebben slechts een kwetbaarheid in het weten van de sleutel; het kennen van het algoritme maakt ze niet minder veilig.
Dit staat geheel los van UX aspecten. Dat een optie voor het installeren van 3rd party apps makkelijk of moeilijk bereikbaar is heeft met user-friendliness te maken, niets met security through obscurity.
[...]

Security through obscurity betekent dat de beveiliging gebaseerd is op het niet hebben van kennis van het algoritme.
Juist niet toch? Security through obscurity wil juist zeggen dat het onduidelijk is hoe iets werkt en dat we hopen dat de "bad guys" ook niet weten hoe het werkt (zie closed source vs. open source discussies).

Laten we wel wezen: de gemiddelde noob weet niet eens hoe hij apps buiten de Play Store om kan installeren. Die komt nooit in de instellingen, doodsbang als hij/zij is dat het wijzigen van een instelling zijn telefoon onbruikbaar maakt. Het omzeilen van de Play Store is voor heel veel gebruikers totaal onzinnig, omdat de gangbare apps gewoon in de Play Store te vinden zijn.

Wat overblijft is een klein groepje dat het vinkje wel weet te vinden en losse apk's wil installeren of een alternatieve store wil gebruiken met betere prijzen of zelfs gratis (pirated?) apps. Het gaat er vooral om dat dat vinkje standaard aan staat en dat je een hele duidelijke waarschuwing krijgt als je hem uitzet. Ga je dan toch door, dan verklaar je min of meer dat je er verstand van hebt.
Dat vind ik inderdaad: veiliger voor de normale gebruiker. De nerd weet zn weg wel, alhoewel ik vermoed dat ook die niet altijd weet welk risico ze lopen of dat voor lief nemen..
In deze context vind ik 'security by obscurity' dan ook wel een positieve term eigenlijk :)
Je stelde "Als je een veilige telefoon wilt", dat gaat er dus vanuit dat je niet bewust externe installs gaat doen.

Had je gezegd "voor een leek die van zichzelf weet regelmatige onveilige dingen te doen is een iPhone een stuk veiliger" dan had je een terecht punt gehad. Een prima argument voor een iPhone, maar wel iets anders dan jij beweerde.
Tja, maar het feit dat er een instelling is die met een simpele howto te doorlopen is en waarmee je dan geld bespaart op app-aankopen.. Bij iOS is dat vele malen moeilijker..
Het is niet alleen een kwestie van besparen. In China worden vrijwel alle Google diensten geblokkeerd en heeft dus vrijwel niemand de Play Store tot zijn beschikking. Men moet daar dus wel de apps van alternatieve bronnen halen, simpelweg omdat er anders praktisch geen smartphone is.
Daarnaast heeft Google normaliter nog de beveiliging dat óók apps van buiten de Play Store gecontroleerd worden via een Play Service. Echter geldt in China dus wederom: Geen Google service, dus die 2e beveiligingslaag gaat ook al niet op.

Het is dan ook niet zo gek dat 57% van de infecties in Azië plaats heeft gevonden. Een aanzienlijk deel daarvan zal uit China komen gok ik zo.
Bovendien gaat dit nog een stukje verder: Veel Chinese producenten richten zich exclusief op de Aziatische markt. Die toestellen worden dus zonder Google Play services geleverd, dus ook al mag je in jouw land wel van Google gebruik maken, moet je maar net zo slim zijn om dat te doen. Google is daar niet zo alomtegenwoordig als in Europa en Amerika. Het zou me niets verbazen als de gemiddelde voorbijganger daar nog niet of nauwelijks van Google Play gehoord heeft. Ziedaar het tweede grote aandeel van die 57%.

Dan blijft ongetwijfeld nog een deel over van mensen die gratis dure apps willen hebben of de intieme foto van de buurvrouw beloofd wordt op een vage website, maar dat aandeel zal niet veel groter zijn dan hier in Europa. Hier wordt gesproken over 9% van de "meer dan een miljoen infecties". Dus pak hem beet 100.000 infecties. Ik geloof dat er in Europa rond de 500 miljoen mobiele telefoons zijn waarvan zo'n 75% op Android draait. Dat is dus een infectiepercentage van pakweg 0,02 - 0,03%. Dat is even een natte vinger berekening dus ik wil beste geloven dat het percentage wat hoger ligt, maar het zal vast in die ordegrootte zitten.
wow inderdaad, wel heel vaak op -1 gemod al. Blijkbaar niet gewenst om iets positiefs over iOS te roepen hier? :+
Valt me op dat Android blijkbaar zoveel makkelijker is om 'zooi' op te zetten en dat het ook blijkbaar normaal is onder veel gebruikers om illegale versies van games erop te knallen, met alle risico's van dien.
Heb zelf 2 telefoons actief in gebruik, een iPhone en een Android, dus weet wel waar ik het over heb ;)
wow inderdaad, wel heel vaak op -1 gemod al. Blijkbaar niet gewenst om iets positiefs over iOS te roepen hier? :+
Echt...je post is niets meer dan 'Flogging a dead horse'
Valt me op dat Android blijkbaar zoveel makkelijker is om 'zooi' op te zetten en dat het ook blijkbaar normaal is onder veel gebruikers om illegale versies van games erop te knallen, met alle risico's van dien.
Dat zijn behoorlijk veel superlatieven... zoals: veel, zooi, makkelijk, normaal, illegaal, knallen, risico's.... lekker makkelijk in je eigen 'bubbel' ongefundeerd conclusies trekken.
Heb zelf 2 telefoons actief in gebruik, een iPhone en een Android, dus weet wel waar ik het over heb ;)
Ik, zelf en weet, waar zijn meestal de beginwoorden voor een vruchteloze dialoog in real life.....

[Reactie gewijzigd door GetaGrip op 30 november 2016 16:53]

hmja waarom je wordt gedownvote is omdat je conclusie niet 'klopt' :) (al zeg je wel heel netjes 'of valt dat niet zo te concluderen' waarvan akte ;) )

als je een veilige telefoon wilt maakt iOS of Android niet zoveel uit -- zolang je die veiligheidsopties maar niet uit zet.

dat iOS niet zo'n setting heeft en Android wel, leid me eerder tot de conclusie: als je een veilige telefoon wilt, moet je als user geen recommended settings gaan lopen aanpassen :)

(disclaimer: ik weet niet precies hoe die opties er uit zien/worden omschreven; ik heb geen Android en geen iOS :P )

[Reactie gewijzigd door bazkie_botsauto op 30 november 2016 16:54]

Je wordt op -1 gezet omdat je n.a.v. 1 incident op Android iets wilt zeggen over de veiligheid van een iPhone. Dat slaat gewoon nergens op.
Op iOS is het een pak complexer om een app te installeren buiten de App Store. Het is daar niet zo simpel om, zoals bij Android, een APK te downloaden en te installeren.
...
Aangezien het bij iOS een pak moeilijker is, lijkt de gebruiker me een pak beter beschermd.
Het laat inderdaad de verschillen zien tussen een Android en iOS.

iOS is zoals een land met een autoritaire regering (bijv. China). De instellingen en eco-systeem worden voor je gemaakt. Wil je er van afwijken dan moet je veel moeite doen.

Android is als een land met veel vrijheden. Er zijn veel keuzes qua instellingen en eco-systemen en je kan gemakkelijk afwijken van default. Echter, deze vrijheden vereisen kennis en de motivatie om te leren. Helaas heeft niet iedereen deze kennis of motivatie.

[Reactie gewijzigd door Dr. Prozac op 30 november 2016 19:05]

Alleen het systeem Apple is zo waardeloos als wat, alle App. Verzamelen!

Bedoel daarmee dat je een kluit heb aan Apps. heb staan en 7 weken nodig heb om dat te ordenen.
Hoewel het zeer triest is dat er malware is blijft het toch iedere developer van een os achtervolgen.
Ik vind het goed dat dit soort dingen gemeld worden maar wel jammer dat na zulke berichten vaak meteen wordt gezegd dat Android een slecht beveiligd systeem is.

Maar ik hoop voor de mensen die het hebben (gehad) dat ze er weinig last van gehad hebben.
Zijn gebruikers met ingestelde Multi Factor Authentication (MFA) of Two Factor Authentication (TFA/2FA) geen slachtoffer geworden?
Sowieso is dit natuurlijk aan te raden voor alle gebruikers met een Google account. (Uitleg)
Towel root compatible Android versions - Android Kitkat (4.4).
Towelroot Supported Android devices - Any Android device running Kitkat.

vRoot Android 2.3 to 5.0

Dus dit verhaal houdt op voor alle devices met android 6.0 en hoger?
Yup ! werkt het niet op.
Weet je die tools om te jailbreaken zijn we allemaal blij mee, maar eigenlijk klopt het niet dat deze tools er zijn en werken. Ze verschaffen gewoon letterlijk de root login tot je unix systeem. Wat een jailbreak tool kan, kan dus ieder andere app ook. Ook malware dus. Android is echt de allergrootste security risk van dit moment. Zeker ook omdat het een vrij gesloten systeem lijkt en default er helemaal geen tools zijn om echt te monitoren wat er allemaal op de achtergrond mee draait.
Er lopen letterlijk miljarden mensen met een unix systeem op zak wat zo lek als een mandje is waar ze dingen mee doen die nog meer prive zijn dan dat ze met hun computer doen.

Android dat gaat nog eens heel groot worden in grootschalige security scandals. Het is bijna bizar dat Google hier niet veel harden op gaat inzetten. Maarja security verkoopt niet. Maar mooie nieuwe gelikte features wel en dus krijgen die voorrang.

[Reactie gewijzigd door ro8in op 30 november 2016 19:49]

Voordat je onzin verkondigt, verdiep je dan eerst wat meer in de materie. Mijn telefoons zijn altijd geroot. Nog nooit problemen gehad omdat ik nadenk wat ik er op zet. Daarnaast, je kunt niet zomaar even een toestel rooten. Daar zijn echt wel wat meer handelingen voor nodig.

Oh ja, jailbreak is voor iOs.
edit: typo

[Reactie gewijzigd door eddy_71 op 30 november 2016 20:24]

De nieuwere toestellen ja. Oudere toestellen zijn letterlijk met een app te rooten. Je moet handelingen verichten omdat die tools niet in de playstore staan, maar zitten ze verstopt in een app die legetiem in de playstore staat is er niks extra's nodig.
De zoveelse malware bij android. En dit is dan ook de reden dat ik IOS gebruik, veel veiliger en een stuk minder malware..


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True