Check Point: Android-вредонос «Gooligan» крадет токены аутентификации

Олег Иванов 01 Декабря 2016 - 13:39

...

Check Point: Android-вредонос «Gooligan» крадет токены аутентификации

Исследователи Check Point Software Technologies предупреждают, что вредоносная программа для Android «Gooligan» крадет токены аутентификации, чтобы скомпрометировать более миллиона учетных записей пользователей Google.

Gooligan получил свое имя от исследователей в области безопасности, он атакует устройства под управлением Android 4 и 5, которые составляют почти 74 процента Android-устройств, использующихся в настоящее время.

По словам Check Point, вредонос способен украсть токены аутентификации, хранящиеся на устройствах, которые могут быть использованы для доступа к конфиденциальным данным Gmail, Google Photos, Google Docs и других сервисов.

Группа исследователей Check Point впервые обнаружила код Gooligan в прошлом году во вредоносном приложении под названием SnapPea. Однако в августе 2016 они наткнулись на новый вариант вредоноса, который заражает 13 000 Android-устройств в день. Примерно 57% зараженных устройств расположены в Азии и около девяти процентов в Европе.

«Заражение устройства происходит, когда пользователь загружает и устанавливает приложение, содержащее код Gooligan, либо при нажатии на вредоносную ссылку в фишинговом письме» - объясняют Check Point в своем блоге.

После того, как вредонос получил контроль над устройством, он начинает устанавливать до 30 000 приложений ежедневно, накручивая им рейтинг от имени жертвы.

«Если ваша учетная запись была скомпрометирована, то потребуется чистая установка операционной системы. На самом деле, это довольно сложный процесс» - говорит глава Check Point по мобильным устройствам Майкл Шаулов (Michael Shaulov).

Check Point выпустили бесплатный онлайн инструмент, позволяющий пользователям проверить, была ли скомпрометирована их учетная запись вредоносом Gooligan.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 28 Апреля 2026 - 09:26

Android Трояны Домашние пользователи

В Google Play нашли фейковую читалку с Android-трояном Anatsa

Исследователи обнаружили в Google Play вредоносное приложение для Android, маскирующееся под утилиту для чтения документов. Этот софт загружает на устройства банковский троян Anatsa, также известный как TeaBot. До удаления из магазина приложение успели установить более 10 тыс. раз.

Согласно описанию, сначала пользователь видел вроде бы обычное приложение для работы с документами.

После установки оно не сразу начинало вредоносную активность, а выступало в роли загрузчика: позже скачивало основной пейлоад с удалённого сервера. Такой подход помогает обходить первичные проверки и не вызывать подозрений у пользователя.

После заражения Anatsa подключалась к командным серверам и могла получать от операторов инструкции. Этот троян нацелен прежде всего на банковские приложения и умеет подменять экраны входа, перехватывать ввод, делать снимки экрана, читать СМС с одноразовыми кодами и помогать злоумышленникам проводить мошеннические операции.

Особенно опасны запросы к службам специальных возможностей Android. Если пользователь выдаёт такие разрешения вредоносному приложению, оно получает гораздо больше контроля над устройством и может работать незаметнее.

Инцидент снова показывает, что даже официальный магазин приложений не даёт стопроцентной гарантии безопасности. Злоумышленники всё чаще загружают в Google Play внешне безобидные приложения, а вредоносные функции активируют уже после установки.

Пользователям стоит внимательнее смотреть на разработчика, отзывы, количество установок и запрашиваемые разрешения. А если приложение для чтения документов внезапно просит доступ к специальным возможностям, СМС или другим важным функциям, это очень веский повод сразу его удалить.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!