GOOLIGAN-SJEKKEN: Check Point har lagt ut link til en nettjeneste som sjekker om Android-enheter er infisert av Gooligan. (Foto: Toralv Østvang)

Gooligan angriper norske Android-brukere

Norge står på listen som viser at mer enn én million Google-kontoer verden over er rammet av det største sikkerhetsbruddet mot Google til nå.

Publisert Sist oppdatert

Gooligan infiserer 13.000 enheter om dagen.

Link til verktøy som sjekker om din Android-enhet er infisert, finner du lenger nede i artikkelen.

Den nye skadevarekampanjen, som er avdekket av sikkerhetsfirmaet Check Point Software Technologies, legger seg inn i Android-enheter og stjeler epostadresser og autentiseringsbevis som er lagret på dem.

Ved hjelp av informasjonen kan angriperne sikre seg adgang til sensitive data på Gmail, Google Photos, Google Docs, Google Play og G Suite, opplyser Check Point.

Norge på listen

Computerworld har fått tilgang til bakgrunnsmateriale fra Check Point som viser at 86 norske Android-kontoer står på listen over dem som er angrepet til nå. Tallet er lavt, men ettersom 13.000 enheter blir infisert hver dag, er det en stor trussel vi snakker om.

Den største andelen av Android-enhetene som er angrepet til nå, rundt 40 prosent, befinner seg i Asia. Rundt 12 prosent av ofrene er i Europa. Men angrepet fortsetter med full styrke over hele verden.

Gooligan installerer minst 30.000 apper på infiserte enheter hver dag, og tallet løper nå opp i over to millioner apper siden angrepet begynte.

Samarbeider om mottiltak

Google og Check Point samarbeider nå intenst om tiltak for å få bukt med Gooligan-angrepet, som særlig ser ut til å ramme Android-brukere som ikke har oppdatert til nyeste versjon av Google Android-operativsystemet.

Gooligan angriper enheter som benytter Android versjon 4 (Jelly Bean, Kitkat) og versjon 5 (Lollipop). Ifølge Check Point utgjør dette nesten 74 prosent av Android-enhetene som er i bruk i dag.

Rundt 57 prosent av de sårbare enhetene befinner seg i Asia, mens Europas andel utgjør rundt ni prosent.

I motsetning til på IOS-plattformen er mange Android-brukere sene til å oppdatere sine mobile enheter til nyeste versjon av operativsystemet. Dette har sammenheng med at Android-verdenen er mye mer fragmentert og at brukerne er avhengig av at de enkelte mobilprodusentene i Android-markedet klargjør oppdateringer for sine mobiler etter at Google har lagt ut en ny OS-versjon.

Check Point har nå lagt ut et gratis online-verktøy som fra i dag av, onsdag 30. november, lar Android-brukere sjekke om kontoen er blitt angrepet.

FRIKJENT: Artikkelforfatterens Android-enhet er ikke infisert av Gooligan, viser dette resultatet av sjekken hos Check Point. (Foto: Toralv Østvang)

Online-verktøyet er tilgjengelig her.

– Neste stadiet i kyberangrep

Check Points avdeling for mobilsikkerhet kom først over Gooligans kode i fjor. I august 2016 dukket skadevaren opp igjen i en ny variant, som altså infiserer minst 13.000 enheter om dagen.

Infiseringen skjer når en Android-bruker klikker på en skadelig link i en phishing-melding eller laster ned og installerer en app som er infisert av Gooligan på en sårbar Android-enhet.

Blant inntektskildene som åpner seg for angriperne når en mobil enhet er infisert og angriperne har fått rot-tilgang, er at de på disse enhetene kan installere nye apper fra Google Play, Googles online-programvarebutikk, og rangere appene på vegne av den som eier enheten.

– Dette tyveriet av over én million Google-kontoopplysninger er ikke likt noe vi har sett tidligere og representerer det neste stadiet i kyberangrep, sier Michael Shaulov hos Check Point. Shaulov er produktsjef innenfor mobil- og sky-sikkerhet hos Check Point.

– Vi ser et strategiskifte hos hackerne som nå angriper mobile enheter først for å få tak i de sensitive dataene som er lagret på dem, sier Shaulov.

Krever helt ny installasjon

– Hvis du har oppdaget at din konto er angrepet, er det nødvendig å foreta en helt ny installasjon av operativsystemet på din enhet, sier Shaulov. – Dette er en ganske omfattende operasjon som vi anbefaler utføres av sertifiserte fagfolk, sier han.

Prosessen omfatter blant annet det som gjerne kalles «flashing» av enheten, et begrepet som betegner en helt ny installering av operativsystemet.

Check Point anbefaler også at man bytter ut alle passord tilknyttet sin Google-konto etter at operativsystemet er oppdatert.

Et annet råd fra Check Point er at Android-brukerne i størst mulig grad unngår å installere apper fra tredjeparts-butikker, men holder seg til Google Play-butikken, der sikkerhetsnivået tross alt er høyere.

Linker til infiserte apper dukker også opp i SMS-meldinger og andre meldingstjenester, heter det.

Google- og Check Point-blogger

Google har også gått ut med detaljert informasjon om jakten på skadevare i et blogginnlegg om blant annet Ghost Push som du kan lese her

Gooligan betegnes som en variant av Ghost Push.

Og her er lenken til Check Points blogginnlegg om saken. 

google android computerworld check point skadevare datasikkerhet