Специалисты Check Point Software Technologies обнаружили новый Android-зловред, взломавший более миллиона аккаунтов Google. Новую вредоносную кампанию назвали Gooligan, она использует агрессивный вариант вредоносной программы для Android Ghost Push, чтобы заражать до 13 000 устройств каждый день. Check Point немедленно связался со службой безопасности Google, и вместе они продолжают исследовать происхождение Gooligan.

Ключевые факты о Gooligan:

· Вредоносное ПО заражает 13 000 устройств ежедневно. Это первый зловред, который взломал более миллиона устройства.

· Сотни украденных адресов электронной почты принадлежат международным корпорациям.

· Gooligan поражает устройства на платформе Android 4 (Jelly Bean, KitKat) и 5 (Lollipop), которые составляют около 74% всех Android-девайсов, используемых сегодня.

· После получения контроля над устройством, хакеры генерируют прибыль, обманным путем устанавливая приложения из Google Play и выставляя им рейтинг от имени пользователя.

· Каждый день Gooligan устанавливает как минимум 30 000 приложений на взломанные девайсы. С момента запуска зловреда было установлено в общей сложности более двух миллионов приложений.

Check Point немедленно связался со службой безопасности Google, чтобы сообщить об этой атаке. «Мы высоко ценим партнерство с Check Point — мы вместе работали над тем, чтобы разобраться в этом вопросе и принять необходимые меры. Благодаря регулярным действиям по защите пользователей от семейства вредоносного ПО Ghost Push мы добились существенного улучшения безопасности экосистемы Android», — прокомментировал Андриан Людвиг, директор по безопасности Android, Google. Среди прочих мер Google также связался с пострадавшими пользователями и отозвал их аутентификационные данные, удалил приложения, связанные с вредоносной семьей Ghost Push, и добавил новые инструменты защиты в технологию Verify Apps.

Команда мобильных исследований Check Point Software Technologies впервые столкнулась с кодом Gooligan в зловредном приложении SnapPea в прошлом году. В августе 2016 вредоносное ПО вновь появилось в новой модификации, и с тех пор оно инфицировало порядка 13 000 устройств ежедневно. Примерно 57% этих устройств находятся в Азии и около 9% в Европе.

Сотни взломанных адресов электронной почты принадлежат компаниям по всему миру. Взлом происходит, когда пользователь скачивает и устанавливает приложение, зараженное Gooligan, на уязвимое устройство Android, или после нажатия вредоносных ссылок в фишинговых сообщениях.

Check Point предлагает бесплатную онлайн-утилиту, который позволяет пользователям проверить, был ли их аккаунт взломан. «Если ваша учетная запись была взломана, требуется переустановка операционной системы (flashing) на вашем мобильном устройстве. Процесс достаточно сложный, и мы рекомендуем выключить ваше устройство и обратиться к сертифицированным специалистам или к вашему сервис-провайдеру, чтобы обновить прошивку», — добавил Шаулов.