Comunicado de imprensa:
A Check Point acaba de anunciar que os seus investigadores de segurança descobriram uma nova variante de malware para Android que atacou mais de um milhão de contas Google. A nova campanha de malware, batizada como “Gooligan”, faz rooting aos dispositivos Android e rouba endereços de email e credenciais de autenticação. Com esta informação, os atacantes conseguem aceder a dados sensíveis dos utilizadores guardados no Gmail, Google Photos, Google Docs, Google Play, Google Drive e G Suite.
“Este roubo de dados de mais de um milhão de contas Google é extremamente alarmante e representa uma nova era do cibercrime”, afirma Michael Shaulov, responsável por soluções de segurança móvel da Check Point. “Estamos a observar uma mudança na estratégia dos hackers, que agora têm cada vez mais como alvo preferencial os dispositivos móveis, com o intuito de roubar informações sensíveis que neles estão armazenadas.”
Principais descobertas:
- Esta campanha infecta 13 mil dispositivos por dia e é a primeira a conseguir atacar mais de um milhão de dispositivos.
- Centenas dos endereços de email estão associados a contas empresariais em todo o mundo.
- O Gooligan tem como alvos os dispositivos com Android 4 (Jelly Bean, KitKat) e 5 (Lollipop), que representam perto de 74% de todos os dispositivos Android em utilização.
- Depois de os atacantes conseguirem obter o controlo sobre o dispositivo, geram receitas através da instalação fraudulenta de apps do Google Play, classificando-as em nome da vítima.
- Todos os dias, o Gooligan instala pelo menos 30 mil apps nos dispositivos comprometidos, o que significa mais de dois milhões de apps desde o arranque desta campanha.
Assim que detectou esta ameaça, a Check Point contactou de imediato a equipa de segurança da Google para os informar acerca da campanha. “Agradecemos esta parceria com a Check Point e temos vindo a trabalhar em conjunto para melhor compreender e actuar perante estas questões. Como parte dos nossos esforços continuados no sentido de proteger os utilizadores contra a família de malware Ghost Push, tomámos inúmeras medidas para proteger os nossos utilizadores e melhorar a segurança do ecossistema Android como um todo”, sublinha Adrian Ludwig, director de segurança Android da Google. Entre outras medidas, a Google contactou todos os utilizadores afectados e revogou as suas credenciais de acesso, removendo ainda as apps associadas à família Ghost Push da sua loja oficial Google Play e adicionando novas protecções à sua tecnologia Verify Apps.
A Equipa de Investigação Móvel da Check Point encontrou pela primeira vez vestígios do código do Gooligan na app maliciosa SnapPea no ano passado. Em agosto de 2016, o malware reapareceu com esta nova variante e, desde então, infectou pelo menos 13 mil dispositivos por dia. Acerca de 57% destes dispositivos estão localizados na Ásia e cerca de 9% na Europa. Centenas dos emails expostos estão associados a empresas de todo o mundo. A infeção começa quando o utilizador faz o download e instala uma app infectada com o Gooligan num dispositivo Android vulnerável, ou clica num link malicioso numa mensagem de phishing.
A Check Point está a disponibilizar uma ferramenta online gratuita que permite aos utilizadores verificar se as suas contas do Google foram ou não afectadas. “Se a sua conta foi atacada, é aconselhável que reinstale o sistema operativo do seu dispositivo. Este processo complexo chama-se flashing e, por isso, recomendamos que comece por desligar o dispositivo e levá-lo a um técnico certificado para proceder a esta operação”, aconselha Shaulov.
