Gooligan: Android-Malware sorgt für Panik (Plot-Twist: Installation aus unbekannter Quelle)
von caschy | 17 Kommentare
Ich bin der letzte Mensch, der eine potentielle Sicherheitslücke klein reden würde, aber momentan wird wieder eine Sau durchs Dorf getrieben, die ganz furchtbar ist. Sie wird Gooligan genannt und wenn man bestimmten Medien glauben möchte, dann sind alle Android-User potentiell betroffen. Zumindest in klickträchtigen Überschriften. In mehr als eine Million Google-Konten wurde eingebrochen! Aber mal vom Anfang an. Check Point Software Technologies berichtet gerade über die neue Form der Ghost-Push-Malware, die Nutzerdaten entwenden kann und damit logischerweise Daten des Nutzers dem Angreifer überlässt. Millionen Nutzer sollen potentiell betroffen sein. Ja, aber.
Richtig, es müssen Voraussetzungen erfüllt sein. So trifft es eine breite Masse, nämlich die mit Android 4 (Jelly Bean, KitKat) und 5 (Lollipop). Der Angriff findet allerdings nicht aus dem Google Play Store statt, stattdessen muss der Nutzer aktiv Apps aus anderen Stores oder anderen Quellen herunterladen. Er muss also selbständig (!) die Installation aus Drittquellen erlauben und sich zusätzlich (!) irgendwo eine schräge App ziehen und installieren.
Ganz ehrlich? Man muss immer wieder dran erinnern, dass das natürlich gefährlich sein kann, aber es ist eigentlich ein alter Hut. Hat der Nutzer sich so eine spezielle App eingefangen, dann lädt diese schädlichen Krempel nach. Gooligan soll dann diverse Aspekte des Systems verändern, wenn möglich rooten, um noch mehr Schaden anzurichten und dementsprechend an Daten zu kommen. Check Point Software Technologies nimmt hier als Beispiel Auth-Token für Google-Konten.
Täglich werden so 13.000 Geräte befallen. Wie erwähnt: Ich will es beileibe nicht kleiner machen als es ist, aber man sollte schon die Voraussetzungen beachten. Interessanterweise hat Check Point Software Technologies eine Seite eingerichtet, auf der man sein Google-Konto checken lassen kann. Das Unternehmen scheint also Datensätze betroffener Konten zu haben. Auch Google hat sich in Person von Adrian Ludwig mittlerweile zu Wort gemeldet.
Man tracke die Ghost Push-Malware seit 2014. Via des Dienstes „Verify Apps“ versucht man dem Nutzer bei erkannter Schadsoftware vor der Installation dieser zu warnen. Doch auch Entwickler von Malware gehen mit der Zeit. 2015 fand Google insgesamt 40.000 Apps in Zusammenhang mit Ghost Push, Googles Systeme erkennen derzeit um 150.000 verschiedene Varianten. In den letzten Wochen habe man eng mit Check Point zusammengearbeitet. Man habe bislang keinen Hinweis darauf gefunden, dass die Malware Daten von Nutzern im großen Stil abgesaugt habe. Stattdessen gehe man davon aus, dass die Malware automatisiert auch Apps aus dem Play Store nachlädt, um diese künstlich zu pushen, auch das Anzeigen von Werbung soll ein Thema sein. Entsprechende Apps wurden aus dem Play Store entfernt. Nutzer, die Apps derart nachgeladen haben, wurden informiert, Token vorsichtshalber ungültig gemacht.
No evidence of user data access: In addition to rolling back the application installs created by Ghost Push, we used automated tools to look for signs of other fraudulent activity within the affected Google accounts. None were found. The motivation behind Ghost Push is to promote apps, not steal information, and that held true for this variant.
Lange Rede, kurzer Sinn: Angeblich kann man sich die Malware nur über eine externe Installation einfangen, trotzdem ist Google dabei, Angriffe dieser Art zu erkennen und zu unterbinden. Was natürlich für die meisten Nutzer von Android-Geräten blanker Hohn sein dürfte: Adrian Ludwig empfiehlt den Einsatz aktuellster Android-Software. Eine Sache, von der wahrscheinlich viele nur träumen. In diesem Sinne: Wenn Sideload, dann nachvollziehbar signierte Apps aus vertrauenswürdigen Quellen. Und zu Android-Updates: Kauft Geräte von Herstellern, die sich um Updates kümmern (oder die Community-Support erahnen lassen). Anders lernen die Schluderer es wohl nicht.
Wird geladen ...
apkmirror betroffen?
@Viktor: Das ist ja als Seite per se kein Store. Aber theoretisch kann das alle treffen, wenn APKs nicht signiert sind. APK Mirror zeigt die Fingerprints auf Wunsch aber an
Das ist nicht anders als mit etlichen anderen Gefährdungen auch. Es ist nicht neu, dass die in der Öffentlichkeit und vor allem im Internet breit gefächert dargelegt werden, dass einem Angst und Bange werden kann. Tatsächlich aber müssen oft so viele Voraussetzungen erfüllt sein, dass bestimmt 90 % oder noch mehr der Gefahren eher theoretischer Natur sind.
Die übliche künstliche Panikmache halt. Zumal es nur einzelne dubiose Apps betrifft, die man sich aus speziellen asiatischen Stores manuell installieren müsste. Das macht hier in Europa sowieso praktisch niemand.
Oh, Leute die sich Raubmordkopien von „unseriösen“ Seiten laden und installieren, laufen dabei also Gefahr ihr System zu kompromittieren… wer hätte das nur gedacht.
Für jemanden ohne Android: Wer sind denn die Hersteller, die sich „um Updates kümmern“?
„Kauft Geräte von Herstellern, die sich um Updates kümmern“. Also wird hier vom Kauf von Android-Geräten abgeraten?
Die S-Klasse von Samsung ist z. B. vorbildlich. Selbst das fast drei Jahre alte Galaxy S5 bekommt immer noch monatliche Sicherheitsupdates.
Yep. Das alte Galaxy S5 ist auf dem aktuellen Android-Patch-Level von November 2016. Da kommen praktisch monatlich immer noch Updates.
Das S5 erhält diese Updates aber nicht bei gebrandeten Firmwares in dieser Häufigkeit 🙁
Mein S4 geht seit einem Jahr leer aus.
Empfehlen kann ich BQ, die Stellen zB für das Aquaris X5 Plus die Updates innerhalb weniger Tage bereit, top.
„Kauft Geräte von Herstellern, die sich um Updates kümmern (oder die Community-Support erahnen lassen). Anders lernen die Schluderer es wohl nicht.“ > zu Huawei würdest du dann wohl nicht raten?
Immer diese dämlichen Namen für diese Sicherheitslücken… Wer sich 3rd Apps aus Fremden Quellen unter Android installiert und davor noch die Sicherheitswarnung einfach abnickt hat es nicht anders verdient. Unter jedem anderen Betriebsystem kannst du dir auch einfach so aus „bösen“ Quellen irgendwelche Programme ziehen, die das System infizieren können. Diesem jetzt hier einen „fancy“-Namen zu verpassen, Grafiken zu basteln und sogar einen Überprüfungsdienst aufzusetzen, lässt das ganze wie eine Art SEO Kampagne für checkpoint wirken.
Aber das betrifft doch sowieso nur alte Geräte, die noch mit Jelly Bean, Kitkat oder Lollipop laufen. Gibt es davon wirklich noch so viele?
@Andreas Schwartmann: Nur ca. 75 % aller Android-Geräte. Also kaum noch relevant. ;p
http://stadt-bremerhaven.de/android-verteilung-lollipop-bleibt-staerkste-kraft-nougat-kaum-vorhanden/
Jaja, das ist furchtbarfurchtbar, wuhawuha, Alarm Alarm Alarm, bringe sich jeder in Sicherheit, wohl keine Rettung möglich, wir sind unwiederbringlich verloren.
Hohle Panikmache ist ja so schön, lasst uns alle das Hirn ausschalten und in den Dummquatsch miteinstimmen.
Ständig der selbe Blödsinn, wobei es sich um sehr theoretische Proofs-of-Concepts unter Laborbedingungen handelt, meist verbreitet von Security-Unternehmen, die an Malware-Panik verdienen oder mediengeilen „Hackern/Scriptkiddies“, die halt irgendeine Lücke gefunden haben.
Wäre alles auch nur halb so schlimm (wuhawuha, Hilfe!) wie ständig verkündert, würden unsere Geräte rund um die Uhr nur noch verrückt spielen.
> „Er muss also selbständig (!) die Installation aus Drittquellen erlauben und sich zusätzlich (!) irgendwo eine schräge App ziehen und installieren.“
Wie die Kinder von Bekannten die auf’m Schulhof irgendwelche Clash of Clans Crack Tools aus dubiosen Quellen laden und deren Geräte ich dann alle paar Monate neu aufsetzen darf weil es Null effektive Einschränkungen gibt.
Frage: kann eine antiviren software den Gooligan finden? oder schlägt die antiviren software vorher an, bevor man
so eine app installiert?
also frage, schüzt mich eine antiviren software vor Golligan??
Gruss
Thomas