Malware Android Gooligan


Peneliti dari perusahaan keamanan checkpoint baru saja merilis hasil analisa terhadap malware Android Gooligan. Menurut Checkpoint, malware ini telah digunakan untuk meretas 1 juta akun Google yang terhubung ke perangkat Android. Malware ini menyerang perangkat Android 4 (Jelly Bean, KitKat)  dan 5 (Lollypop). Menurut Google 74% perangkat Android masih menggunakan android 4 & 5, sehingga rentan terhadap malware ini. Dilaporkan juga 57% perangkat yang diretas berada di Asia, 19% di Amerika, 15% di Afrika dan 9% di Eropa.

Cara kerja malware ini adalah sebagai berikut:

  • Penyerang menginfeksi malware melalui 2 cara, phishing dan melalui applikasi android palsu.
  • Setelah menginfeksi Android, malware mengumpulkan data tentang perangkat dan mengunduh rootkit.
  • Kemudian malware mendapatkan akses root dan mengunduh modul malware lainnya.
  • Malware mencuri akun email dan authentication token
  • Injeksi code ke google play dan mengunduh aplikasi lainnya
  • Token authentikasi yang dicuri dapat digunakan oleh penyerang untuk mengakses akun Google Play, Gmail, Google Photos, Google Docs, G Suite, Google Drive, milik korban.

Cara mengetahui apakah akun kita diretas

Checkpoint menyediakan layanan untuk memeriksa apakah akun kita telah diretas atau tidak. Caranya dengan mengakses ke alamat berikut:

https://gooligan.checkpoint.com/

Masukkan alamat email yang kita gunakan pada perangkat android pada alamat diatas. Hasilnya akan muncul apakah akun kita masih aman atau tidak. Untuk melihat alamat email yang kita gunakan pada Android bisa dilihat di setting —> Account –> google

Bila akun kita telah diretas, peneliti checkpoint menyarankan beberapa langkah berikut:

  1. Instal ulang sistem operasi Android kita (flashing).
  2. Mengganti password akun google anda

Malware ini banyak ditemukan pada app store alternatif (selain Google Play). Selain itu juga melalui phishing (halaman palsu). Link phishing ini disebarkan melalui sms maupun aplikasi chat. Peneliti Checkpoint menemukan malware ini awalnya pada aplikasi SnapPea.

Malware ini memanfaatkan celah keamanan VROOT (CVE-2013-6282) dan Towelroot (CVE-2014-3153) untuk mendapatkan akses root. Setelah mendapatkan akses root maka penyerang mendapatkan akses penuh terhadap perangkat korban. Malware mengunduh modul lainnya dar server C2. Modul ini menginjeksi kode untuk menjalankan Google Play dengan menggunakan akun android korban. Teknik yang digunakan Gooligan memiliki kesamaan dengan malware Hummingbad.

Akun ini digunakan untuk menginstal aplikasi dari Google play, memberi rating applikasi dari akun korban, serta mengunduh adware. Sebaiknya segera periksa apakah akun anda telah diretas malware ini!

Aplikasi palsu

Berikut daftar berapa aplikasi palsu yang terinfeksi malware gooligan:

  • Perfect Cleaner
  • Demo
  • WiFi Enhancer
  • Snake
  • gla.pev.zvh
  • Html5 Games
  • Demm
  • memory booster
  • แข่งรถสุดโหด
  • StopWatch
  • Clear
  • ballSmove_004
  • Flashlight Free
  • memory booste
  • Touch Beauty
  • Demoad
  • Small Blue Point
  • Battery Monitor
  • 清理大师
  • UC Mini
  • Shadow Crush
  • Sex Photo
  • 小白点
  • tub.ajy.ics
  • Hip Good
  • Memory Booster
  • phone booster
  • SettingService
  • Wifi Master
  • Fruit Slots
  • System Booster
  • Dircet Browser
  • FUNNY DROPS
  • Puzzle Bubble-Pet Paradise
  • GPS
  • Light Browser
  • Clean Master
  • YouTube Downloader
  • KXService
  • Best Wallpapers
  • Smart Touch
  • Light Advanced
  • SmartFolder
  • youtubeplayer
  • Beautiful Alarm
  • PronClub
  • Detecting instrument
  • Calculator
  • GPS Speed
  • Fast Cleaner
  • Blue Point
  • CakeSweety
  • Pedometer
  • Compass Lite
  • Fingerprint unlock
  • PornClub
  • com.browser.provider
  • Assistive Touch
  • Sex Cademy
  • OneKeyLock
  • Wifi Speed Pro
  • Minibooster
  • com.so.itouch
  • com.fabullacop.loudcallernameringtone
  • Kiss Browser
  • Weather
  • Chrono Marker
  • Slots Mania
  • Multifunction Flashlight
  • So Hot
  • Google
  • HotH5Games
  • Swamm Browser
  • Billiards
  • TcashDemo
  • Sexy hot wallpaper
  • Wifi Accelerate
  • Simple Calculator
  • Daily Racing
  • Talking Tom 3
  • com.example.ddeo
  • Test
  • Hot Photo
  • QPlay
  • Virtual
  • Music Cloud

Informasi lebih lanjut dapat dilihat pada link berikut: http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/


Silahkan tuliskan tanggapan, kritik maupun saran