נוזקת אנדרואיד הביאה לפריצה ליותר ממיליון חשבונות גוגל

מתקפת סייבר המכוונת למכשירי אנדרואיד (Android) חשפה את פרטי המשתמש והסיסמא ביותר ממיליון חשבונות גוגל (Google), כך על פי חוקרי האבטחה של צ'ק פוינט (Check Point).

על פי ענקית אבטחת המידע הישראלית, גרסה חדשה של נוזקה אשר תוקפת משתמשי אנדרואיד, מעניקה לתוקפים גישה למידע האישי בחשבונות גוגל, דוגמת Gmail ,Google Play ,Google Drive ,Google Photos ו-G Suite.

את הגרסה החדשה של הנוזקה כינו החוקרים Gooligan. היא מקנה להאקרים שליטה מלאה במכשיר (root access). באופן זה, יכול התוקף לגנוב את פרטי המייל וקוד האימות (token) השמורים במכשיר, ובאמצעותם – לפרוץ לחשבונות גוגל של המשתמש.

להשיג את המידע הרגיש

"הגניבה של יותר ממיליון פרטי חשבונות גוגל מדאיגה מאוד ומייצגת את השלב הבא במתקפות סייבר", הסביר מיכאל שאלוב, מנהל מוצרי המובייל של צ'ק פוינט, "אנחנו עדים לשינוי באסטרטגיה של האקרים, שכעת תוקפים מכשירי מובייל – במטרה להשיג את המידע הרגיש השמור בהם".

הממצאים העיקריים, ציינו החוקרים, הם שכחלק מהמתקפה הודבקו בנוזקה לפחות 13 אלף מכשירי אנדרואיד מדי יום; מאות מכתובות המייל שנחשפו מקושרות לחברות ולארגונים ברחבי העולם; Gooligan עלול לפגוע במשתמשי אנדרואיד עם גרסאות ההפעלה 4 (Jelly Bean ,KitKat) ו-5 (Lollipop), המהווים יותר מ-74% מהמכשירים הקיימים כיום בשוק.

עוד ציינו החוקרים כי לאחר שהתוקפים משיגים שליטה מלאה במכשיר, הם מורידים אליו אפליקציות ללא ידיעת המשתמש, ומדרגים אותן בחנות האפליקציות. לדבריהם, בכל יום מתקין Gooligan לפחות 30 אלף אפליקציות במכשירים שנפרצו, ובסך הכל יותר משני מיליון אפליקציות – מאז החלה המתקפה.

קשר עם משתמשים שנפגעו

צ'ק פוינט דיווחה מיידית על המתקפה ליחידת אבטחת המידע של גוגל. "אנחנו מעריכים את שיתוף הפעולה של צ'ק פוינט ועובדים במשותף כדי ללמוד את הנושא ולנקוט צעדים. כחלק מהמאמץ המתמשך שלנו להגן על משתמשים מפני נוזקות, ביצענו מספר פעולות לשיפור האבטחה בסביבת משתמשי אנדרואיד", אמר אדריאן לודוויג, מנהל אבטחת אנדרואיד בגוגל.

בין היתר, גוגל יצרה קשר עם משתמשים שנפגעו, ביטלה את קוד האימות שלהם, הסירה מ-Google Play אפליקציות הקשורות לנוזקה והוסיפה הגנות חדשות לטכנולוגיות אימות האפליקציות שלה.

חוקרי צ'ק פוינט זיהו בראשונה את הקוד הזדוני של Gooligan בשנה שעברה, בתוך אפליקציית SnapPea. באוגוסט 2016 הופיעה התוכנה הזדונית בגרסה חדשה, ומאז הדביקה 13 אלף מכשירים בכל יום. ההדבקה מתרחשת כאשר משתמש אנדרואיד מוריד ומתקין אפליקציה נגועה בקוד של Gooligan, או על ידי הונאת פישינג, במסגרתה התוקפים שולחים הודעות טקסט עם לינק להורדת אחת מהאפליקציות הנגועות בקוד של Gooligan.

כיצד ניתן לברר אם חשבונך נפרץ?

ענקית האבטחה הישראלית מציעה כלי חינמי, הבודק אם המכשיר שלכם הודבק בנוזקה. לבדיקה לחצו כאן.

"אם התברר כי מכשירך נפרץ, נדרשת התקנה נקייה של מערכת הפעלה למובייל, בתהליך שנקרא פלאשינג", אמר שאולוב. "ההמלצה שלנו היא לכבות את המכשיר וליצור קשר עם טכנאי מובייל מורשה, שיבצע פלאשינג למכשיר".