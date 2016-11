Mit Gooligan wird eine neue Malware als brandgefährliche Android-Bedrohung durchs Netz getrieben. Die Malware ist für Otto Normalverbraucher indes kaum gefährlich – das solltet ihr dennoch wissen.

Gooligan: Malware kann Smartphones mit Android 4 und Android 5 infizieren

Bei Gooligan handelt es sich um eine Malware, die Sicherheitslücken ausnutzt, die in älteren Android-Versionen wie Jelly Bean, Kitkat und Lollipop zu finden ist. Google hat die entsprechenden Exploits VROOT (CVE-2013-6282) und Towelroot (CVE-2014-3153) eigentlich längst geflickt, es kursieren aufgrund der miserablen Update-Politik vieler Hersteller dennoch viele ungeschützte Smartphones. Dennoch gibt es hierzulande wenig Grund zur Panik. Doch um was geht es eigentlich?

Smartphones auf denen Android Jelly Bean, Kitkat und Lollipop installiert sind, können von Gooligan betroffen sein. (Foto: Motorola)

Verschiedene Varianten der Malware werden schon seit 2014 von Google beobachtet. Gooligan gehört zu der als „Ghost Push“ bekannten Malware, ist unter der Kategorie „potenziell gefährliche Apps“ (Potentially Harmful Apps [PHAs]) eingestuft und in die Kategorie „feindliche Downloader“ eingeordnet worden.

Ist ein System befallen, verschafft die Malware sich Rootrechte und besitzt dadurch uneingeschränkten Zugriff auf das Gerät. Dadurch können beispielsweise weitere Apps und weitere gefährliche Module ohne Einfluss des Nutzers auf dem Gerät installiert werden.

Gooligan injiziert Code in aktiven Google-Play- oder Google-Mobile-Services (GMS), wodurch ein Nutzerverhalten imitiert und die Malware nicht erkannt werden soll. Ziel der Malware ist es, die E-Mail-Adresse des Users und ein Authentifizierung-Token zu erlangen. Ferner werden weitere Apps aus dem Play Store geladen und dann positiv bewertet, wodurch ihre Reputation gesteigert werden soll. Zudem wird Adware auf den befallenen Smartphones installiert, um Werbeeinnahmen zu generieren.

Gooligan veröffentlicht unter eurem Namen positive App-Bewertungen im Play Store. (Bild: Checkpint)

Gooligan: Nutzerdaten wurden nicht abgegriffen, sagt Google

Obwohl sich die Malware Zugriff auf das Google-Konto verschafft, gebe es laut Googles Director of Android-Security Adrian Ludwig keinen Hinweis darauf, dass die Malware sich auch die Nutzerdaten verschafft. Die Intention von Gooligan sei lediglich Apps im Play Store zu bewerben, nicht aber Daten zu stehlen. Laut Checkpoint hätte die Malware indes genutzt werden können, um Zugriff auf Daten aus Google Play, Gmail, Google Photos, Google Docs, G Suite, Google Drive und weiteren zu erhalten.

Darüber hinaus, so Ludwig, habe Google keinen Hinweis auf eine gezielte Attacke finden können. Den Analysen Googles zufolge seien nur 0,1 Prozent der eine Million Opfer G-Suite-Kunden. Nutzer, die Smartphones mit eine aktuellen Android-Version besitzen, seien nicht betroffen. Nichtsdestotrotz wird Nutzern empfohlen die Verified Boot-Funktion zu aktivieren, wodurch die Malware beim Neustart eines Geräts entfernt werden kann. Diese Funktion existiert schon seit Android 4.4 Kitkat, ist aber erst seit Android 6.0 Standard. Besitzern von älteren Smartphones ist damit nicht geholfen.

Grafik: So funktioniert Gooligan. (Grafik: Checkpoint)

Wie kommt die Malware überhaupt auf die Smartphones?

Eine Million Geräte sind mit Gooligan infiziert - neun Prozent davon befinden sich in Europa. (Grafik: Checkpoint)

Das Ganze hört sich erst einmal bedrohlich an, zumal ihr die Malware letztlich nur wieder vom Smartphone bekommt, indem ihr das betroffene Gerät komplett neu aufsetzt und idealwerweise das Passwort eures Google-Kontos ändert. Aber: Die Malware gelangt nur dann auf euer Gerät, wenn ihr Apps aus Third-Party-App-Stores installiert, oder auf einen Phishing-Link klickt. Durch diese Umstände verringert sich das Risiko, „einfach so“ Gooligan-Opfer zu werden, enorm. Wenn ihr eure Apps nur aus offiziellen Quellen wie Googles Play Store bezieht, müsst ihr euch also keine Sorgen machen. Falls ihr sichergehen wollt, dass euer Gerät garantiert nicht betroffen ist, surft auf der von Checkpoint eigens eingerichteten Website und überprüft den Status eures Google-Kontos.

Ist euer Account von Gooligan befallen? Ein Test sagt es euch. (Screenshot: Checkpoint; t3n)

Laut der Sicherheitsfirma Checkpoint, die Gooligan zusammen mit Google untersucht hat, sind derzeit etwa eine Million Geräte infiziert – täglich sollen 13.000 Geräte hinzukommen. In Europa sind lediglich neun Prozent der infizierten Geräte verortet. Der Großteil der Gooligan-Opfer befindet sich in Asien - das verwundert wenig, da gerade in der Region zahlreiche App-Store-Angebote existieren. Das liegt unter anderem daran, dass auf Smartphones in China Googles Play Store nicht installiert sein darf.

Wie kann ich mich vor Gooligan schützen?

Wie bereits erwähnt, solltet ihr eure Finger von Apps lassen, die aus dubiosen Quellen oder inoffiziellen App-Stores stammen. Hierzulande ist es ohnehin kein Problem, sich Anwendungen aus offiziellen Quellen zu besorgen. Falls ihr eine APK aus einer alternativen Quelle beziehen wollt, passt auf, dass sie von Google signiert ist. Wer nicht weiß, was das bedeutet: Finger weg. Darüber hinaus sollet ihr es vermeiden Links auf dubiosen Websites zu klicken.

Die aktuelle Android-Versionsverteilung zeigt ein trauriges Bild: Weniger als 25 Prozent aller Smartphones laufen auf Gooligan-sicheren Versionen. (Bild: Google)

Andererseits solltet ihr natürlich darauf achten, Smartphones mit aktueller Software zu besitzen, die regelmäßig mit Sicherheitspatches versorgt werden. Das ist leider nicht immer leicht, da Hersteller ihre Geräte oftmals stiefmütterlich behandeln, was Software-Updates angeht. Diesbezüglich muss Google seine Hardware-Partner endlich in die Pflicht nehmen und ihnen auferlegen, alle auf dem Markt befindlichen Geräte stets mit aktueller Software zu versorgen. Das versucht Google schon seit Jahren, aber bislang ohne Erfolg.

Interessant in diesem Zusammenhang ist auch unser Artikel: „Android 7.0: Welche Geräte bekommen das Nougat-Update?“