Gooligan: Android-Malware sorgt für Panik (Plot-Twist: Installation aus unbekannter Quelle)

30. November 2016 Kategorie: Android, Backup & Security, geschrieben von: caschy

AndroidIch bin der letzte Mensch, der eine potentielle Sicherheitslücke klein reden würde, aber momentan wird wieder eine Sau durchs Dorf getrieben, die ganz furchtbar ist. Sie wird Gooligan genannt und wenn man bestimmten Medien glauben möchte, dann sind alle Android-User potentiell betroffen. Zumindest in klickträchtigen Überschriften. In mehr als eine Million Google-Konten wurde eingebrochen! Aber mal vom Anfang an. Check Point Software Technologies berichtet gerade über die neue Form der Ghost-Push-Malware, die Nutzerdaten entwenden kann und damit logischerweise Daten des Nutzers dem Angreifer überlässt. Millionen Nutzer sollen potentiell betroffen sein. Ja, aber.

Richtig, es müssen Voraussetzungen erfüllt sein. So trifft es eine breite Masse, nämlich die mit Android 4 (Jelly Bean, KitKat) und 5 (Lollipop). Der Angriff findet allerdings nicht aus dem Google Play Store statt, stattdessen muss der Nutzer aktiv Apps aus anderen Stores oder anderen Quellen herunterladen. Er muss also selbständig (!) die Installation aus Drittquellen erlauben und sich zusätzlich (!) irgendwo eine schräge App ziehen und installieren.

info_3_revised_11-29-copy-1

Ganz ehrlich? Man muss immer wieder dran erinnern, dass das natürlich gefährlich sein kann, aber es ist eigentlich ein alter Hut. Hat der Nutzer sich so eine spezielle App eingefangen, dann lädt diese schädlichen Krempel nach. Gooligan soll dann diverse Aspekte des Systems verändern, wenn möglich rooten, um noch mehr Schaden anzurichten und dementsprechend an Daten zu kommen. Check Point Software Technologies nimmt hier als Beispiel Auth-Token für Google-Konten.

Täglich werden so 13.000 Geräte befallen. Wie erwähnt: Ich will es beileibe nicht kleiner machen als es ist, aber man sollte schon die Voraussetzungen beachten. Interessanterweise hat Check Point Software Technologies eine Seite eingerichtet, auf der man sein Google-Konto checken lassen kann. Das Unternehmen scheint also Datensätze betroffener Konten zu haben. Auch Google hat sich in Person von Adrian Ludwig mittlerweile zu Wort gemeldet.

Man tracke die Ghost Push-Malware seit 2014. Via des Dienstes „Verify Apps“ versucht man dem Nutzer bei erkannter Schadsoftware vor der Installation dieser zu warnen. Doch auch Entwickler von Malware gehen mit der Zeit. 2015 fand Google insgesamt 40.000 Apps in Zusammenhang mit Ghost Push, Googles Systeme erkennen derzeit um 150.000 verschiedene Varianten. In den letzten Wochen habe man eng mit Check Point zusammengearbeitet. Man habe bislang keinen Hinweis darauf gefunden, dass die Malware Daten von Nutzern im großen Stil abgesaugt habe. Stattdessen gehe man davon aus, dass die Malware automatisiert auch Apps aus dem Play Store nachlädt, um diese künstlich zu pushen, auch das Anzeigen von Werbung soll ein Thema sein. Entsprechende Apps wurden aus dem Play Store entfernt. Nutzer, die Apps derart nachgeladen haben, wurden informiert, Token vorsichtshalber ungültig gemacht.

No evidence of user data access: In addition to rolling back the application installs created by Ghost Push, we used automated tools to look for signs of other fraudulent activity within the affected Google accounts. None were found. The motivation behind Ghost Push is to promote apps, not steal information, and that held true for this variant.

Lange Rede, kurzer Sinn: Angeblich kann man sich die Malware nur über eine externe Installation einfangen, trotzdem ist Google dabei, Angriffe dieser Art zu erkennen und zu unterbinden. Was natürlich für die meisten Nutzer von Android-Geräten blanker Hohn sein dürfte: Adrian Ludwig empfiehlt den Einsatz aktuellster Android-Software. Eine Sache, von der wahrscheinlich viele nur träumen. In diesem Sinne: Wenn Sideload, dann nachvollziehbar signierte Apps aus vertrauenswürdigen Quellen. Und zu Android-Updates: Kauft Geräte von Herstellern, die sich um Updates kümmern (oder die Community-Support erahnen lassen). Anders lernen die Schluderer es wohl nicht.



Anzeige: Infos zu neuen Smartphones, Tablets und Wearables sowie zu aktuellen Testberichten, Angeboten und Aktionen im Huawei News Hub.

Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22900 Artikel geschrieben.