Исследователи компании Check Point предупредили о новой угрозе для пользователей Android-устройств. Специалисты обнаружили, что вредоносное ПО под названием Gooligan, с которым они знакомы уже не первый год, научилось похищать токены аутентификации и вернулось к активным действиям.
Представители Check Point говорят, что для распространения Gooligan используются зараженные приложения, размещенные вне официального «маркета». После того, как Gooligan попадает на устройство, происходит соединение с управляющим сервером, а затем скачивание и установка вредоносных файлов.
Схема работы Gooligan
В результате атаки было похищено около полутора миллионов токенов аутентификации, которые используются Google для идентификации пользователей в собственных сервисах. Компания уже приняла необходимые меры для решения проблемы, но количество жертв продолжает расти.
Однако, несмотря на доступные возможности, целью злоумышленников являлись не персональные данные пользователей, а установка на их устройства специального ПО для показа рекламы, накрутки оценок и отзывов. С помощью такой мошеннической схемы авторы Gooligan ежемесячно зарабатывали около $320 тысяч.
Специалисты говорят, что вредоносное ПО заражает около 13 тысяч устройств ежедневно, устанавливая на них более 30 тысяч приложений. Всего за период вредоносной кампании зафиксировано почти два миллиона установок.
График распространения Gooligan
Исходя из предоставленной информации, статистика пострадавших из разных регионов выглядит следующим образом:
- 57% — жители стран Азии;
- 19% — пользователи из Америки;
- 15% — африканские страны;
- 9% — Европа.
В отчете компании Google сказано, что Gooligan является частью семейства “вредоносов” под названием Ghost Push, принципы работы которых идентичны. Пользователь устанавливает зараженное приложение, после чего малварь выполняет вышеупомянутые действия.
Несмотря на то, что сервисы компании уже неоднократно подвергались хакерским атакам различной направленности, Gooligan является одной из самых крупнейших Android-уязвимостей.
Для тех, кто хочет проверить наличие своего электронного ящика в базе скомпрометированных email-адресов, создан специальный раздел на официальном сайте Check Point. Мы же рекомендуем вам ежемесячно менять пароли.
Кроме того, в блоге компании опубликован список зараженных приложений, который вы можете увидеть ниже:
- Perfect Cleaner
- Demo
- WiFi Enhancer
- Snake
- gla.pev.zvh
- Html5 Games
- Demm
- memory booster
- แข่งรถสุดโหด
- StopWatch
- Clear
- ballSmove_004
- Flashlight Free
- memory booste
- Touch Beauty
- Demoad
- Small Blue Point
- Battery Monitor
- 清理大师
- UC Mini
- Shadow Crush
- Sex Photo
- 小白点
- tub.ajy.ics
- Hip Good
- Memory Booster
- phone booster
- SettingService
- Wifi Master
- Fruit Slots
- System Booster
- Dircet Browser
- FUNNY DROPS
- Puzzle Bubble-Pet Paradise
- GPS
- Light Browser
- Clean Master
- YouTube Downloader
- KXService
- Best Wallpapers
- Smart Touch
- Light Advanced
- SmartFolder
- youtubeplayer
- Beautiful Alarm
- PronClub
- Detecting instrument
- Calculator
- GPS Speed
- Fast Cleaner
- Blue Point
- CakeSweety
- Pedometer
- Compass Lite
- Fingerprint unlock
- PornClub
- com.browser.provider
- Assistive Touch
- Sex Cademy
- OneKeyLock
- Wifi Speed Pro
- Minibooster
- com.so.itouch
- com.fabullacop.loudcallernameringtone
- Kiss Browser
- Weather
- Chrono Marker
- Slots Mania
- Multifunction Flashlight
- So Hot
- HotH5Games
- Swamm Browser
- Billiards
- TcashDemo
- Sexy hot wallpaper
- Wifi Accelerate
- Simple Calculator
- Daily Racing
- Talking Tom 3
- com.example.ddeo
- Test
- Hot Photo
- QPlay
- Virtual
- Music Cloud
Источник: CheckPoint, CNBC
