Digital

Die Schadsoftware Gooligan hat es auf Google-Konten abgesehen. Bild: Andy Wong/AP/KEYSTONE

Gooligan attackiert unvorsichtige Android-User

Die Schadsoftware Gooligan hat mehr als eine Million Google-Konten befallen. Und sie installiert ungefragt Apps.

Publiziert: 01.12.16, 03:26 Aktualisiert: 01.12.16, 08:10

andreas albert / Spiegel online

Ein Artikel von

Die israelische Sicherheitsfirma Check Point warnt vor einer Schadsoftware, die Android-Geräte befällt und Google-Konten angreift. Die Malware mit Namen Gooligan hat demnach weltweit bereits mehr als eine Million Google-Nutzerkonten gehackt.

Das Programm zielt auf Android-Smartphones und -Tablets, auf denen die Betriebssystemversionen Android 4 (Jelly Bean, KitKat) oder 5 (Lollipop) installiert sind. Die Systeme laufen nach aktuellem Stand auf ungefähr drei von vier Android-Geräten. Check Point hat eigenen Angaben zufolge Google nach Entdeckung des Schadcodes umgehend informiert.

Check Point zufolge werden seit Ende August jeden Tag weltweit mehr als 13'000 neue Android-Geräte von der Malware befallen. Das Programm verstecke sich in Dutzenden legitim anmutenden Apps, die auf alternativen Downloadplattformen angeboten werden. Nutzer des offiziellen Play Stores von Google sind also nicht betroffen. Damit werde der Schadcode vom Nutzer selbst aus fremden Quellen auf den Geräten installiert. Ausserdem versuchten die Täter, ihre Schadsoftware über falsche Links in SMS oder Messaging-Nachrichten zu verbreiten.

Betroffen sind Dienste wie Gmail, Docs und G Suite

Gooligan versuche dann, sich über mehrere bekannte Schwachstellen weitreichende Zugriffsrechte einzuräumen, schreibt Check Point weiter. So könnten Angreifer Apps, Daten und die Hardware des Geräts aus der Ferne kontrollieren.

Der Schadcode erfasst zu Google-Diensten passende E-Mail-Adressen und entsprechende Authentifizierungs-Token. Die Token, die lokal auf einem Gerät gespeichert werden, identifizieren den Nutzer und loggen ihn automatisch in einen Dienst ein. Haben Kriminelle Zugang zu den Token, kommen sie auch ohne Passwort in ein Benutzerkonto. Betroffen sind Google-Services wie Gmail, Google-Drive, Google Docs, Google Play, Google Photos und G-Suite.

Einige der kompromittierten E-Mail-Adressen gehörten laut Check Point zu Finanzdienstleistern und Unternehmen. Aber auch Bildungseinrichtungen und Regierungsbehörden sollen in einigen Ländern betroffen sein. Google selbst habe bisher allerdings keine Hinweise darauf, dass persönliche Daten von Nutzern kompromittiert wurden, heisst es in einem Blogeintrag.

Fast zehn Prozent der infizierten Geräte befinden sich dem Unternehmen zufolge in Europa, mehr als 55 Prozent in Asien. «Dieser Diebstahl von über einer Million Google-Kontodaten ist beispiellos und stellt die nächste Stufe der Cyberangriffe dar», sagt Michael Shaulov, der bei Check Point für Cloud- und Mobilsicherheit verantwortlich ist.

Positive Bewertungen als Hinterlassenschaft

Der Schadcode lädt Check Point zufolge ausserdem weitere Apps aus Googles Play-Store. Diese werde dann vom Nutzer unbemerkt im Hintergrund ausgeführt. Die Sicherheitsexperten gehen davon aus, dass täglich 30'000 Apps installiert werden.

Ähnlich wie andere Schadprogramme soll Gooligan auch Daten zur Geräteidentifizierung fälschen, um eine App mehrmals herunterzuladen. Die Malware soll außerdem in Googles App-Store eine positive Bewertung der heruntergeladenen App hinterlassen.

«Wir haben zahlreiche Schritte unternommen, um unsere Nutzer zu schützen und das Android-Umfeld insgesamt zu verbessern,» schreibt Adrian Ludwig, der bei Google für Android-Sicherheit zuständig ist, in dem Blogeintrag weiter.

Google habe zudem betroffene Nutzer kontaktiert und die Token widerrufen. Zudem seien neue Schutzmechanismen in die Verify-Apps-Technologie eingebaut worden, heisst es weiter. Check Point bietet ein kostenloses Online-Tool an, mit dem Android-Nutzer prüfen können, ob sie betroffen sind. Sollte ein Konto gehackt worden sein, sei eine einwandfreie Neuinstallation des Betriebssystems nötig. Das Sicherheitsunternehmen empfiehlt, diesen Flashing genannten Vorgang von einem zertifizierten Techniker oder dem Mobilfunkprovider vornehmen zu lassen. Danach sollten sämtliche Google-Passwörter geändert werden. Zudem sollten Nutzer Googles offiziellen Play-Store nutzen und einen Virenscanner installieren.

Mehr Android-Storys

Das neue Android heisst Nougat – und das sind die 10 besten Features

Das bringt Android Wear 2.0

Android-Nutzer aufgepasst: Post warnt vor Fake-SMS mit gefährlichem Trojaner

Ist Android das neue Windows? Die wichtigsten Fragen und Antworten zum Knatsch bei Google

Schweizer Android-App für die Google-«Oscars» nominiert

Alle Artikel anzeigen

Hol dir die catson-App!

Deine Katze würde catson 5 Sterne geben – wenn sie Daumen hätte.
Themen
8 Kommentare anzeigen
8
Logge dich ein, um an der Diskussion teilzunehmen
Youtube-Videos und Links einfach ins Textfeld kopieren.
600
  • Deorai 01.12.2016 07:42
    Highlight Ja, aber. Richtig, es müssen Voraussetzungen erfüllt sein. So trifft es eine breite Masse, nämlich die mit Android 4 und 5. Der Angriff findet allerdings nicht aus dem Google Play Store statt, stattdessen muss der Nutzer aktiv Apps aus anderen Stores oder anderen Quellen herunterladen. Er muss also selbständig (!) die Installation aus Drittquellen erlauben und sich zusätzlich (!) irgendwo eine schräge App ziehen und installieren.
    Ganz ehrlich? Man muss immer wieder dran erinnern, dass das natürlich gefährlich sein kann, aber es ist eigentlich ein alter Hut. Quelle: goo.gl/HLFmD9
    39 3 Melden
    • Oliver Wietlisbach 01.12.2016 07:57
      Highlight Du hast recht. Effektiv sind weit weniger als 3 von 4 Nutzern betroffen. Der Push-Alarm war leider falsch formuliert. Dafür entschuldigen wir uns.
      30 3 Melden
    • Deorai 01.12.2016 10:39
      Highlight Schnell reagiert. Finde ich sympatisch. Weiter so.
      2 0 Melden
    600
  • Mikee 01.12.2016 07:00
    Highlight Noch ein Bild zum aktuellen Fall:
    5 1 Melden
    600
  • Mikee 01.12.2016 06:47
    Highlight Immer wieder dasselbe:
    #1: 2-fach Authentifizierung akivieren
    #2: Regelmässig Password ändern
    #3: Keine unbekannzen Links anklicken
    #4: Aufpassen bei alternativen Stores, wenn möglich vermeiden
    #5: Google Security Check durchführen, nicht benötigte Logins und Berechtigungen entfernen
    #6: Nicht dasselbe Passwort bei sämtlichen Internetplattformen verwenden
    #7: Passwörter nur in einem "Tresor" speichern (z.B. KeePass)

    usw...
    Das sind so die Basics und sollten mittlerweile selbstverständlich sein. Gilt nicht nur für Google.
    11 2 Melden
    • walsi 01.12.2016 08:47
      Highlight Das ist viel zu mühsam, die Menschen möchten es einfach haben. Sie vergessen nur, dass einfach und sicher sich ausschliessen.
      5 2 Melden
    • Mikee 01.12.2016 11:18
      Highlight @walsi
      Leider hast du Recht :D
      Und dann habe ich extra darauf geachtet nur einfache und selbstverständliche Sachen aufzulisten. Mühsames ist ganz bewusst nicht in der Liste.. aber ja für einige ist sogar das selbstverständliche zu viel... Das sind auch meist diese Menschen die dann am lautesten Schreien wenn ihre Penis Fotos im Internet landen.
      0 0 Melden
    600
  • pamayer 01.12.2016 06:36
    Highlight Wo Daten, da Diebe.
    Und wo viele Daten, da fehlende Übersicht.
    6 0 Melden
    600

Nokia kommt zurück! Anfang 2017 steht der legendäre Name wieder auf Smartphones

Im Mai hat Nokia sein Comeback im Smartphone- und Tablet-Markt angekündigt. Nun gibt es die ersten konkreten Lebenszeichen von den Finnen, die 2017 ihr Comeback im Handy-Markt geben.

Nokia will Anfang 2017 mit einem Android-Smartphone ins Rampenlicht zurückkehren. Nachdem die Finnen bereits vor einem halben Jahr ihre Comeback-Pläne angekündigt haben, gibt Nokia nun weitere Informationen preis. Auf der Firmenwebseite wurde heute eine neue Rubrik für Smartphones veröffentlicht, die mehrere Android-Geräte für das nächste Jahr ankündigt. Zu sehen sind aktuell allerdings erst die klassischen Nokia-Handys, die in ärmeren Ländern immer noch millionenfach verkauft werden. …

Artikel lesen