SHARE

Jika kalian memakai smartphone berbasis android maka kalian wajib waspada karena sebuah malware baru bernama Gooligan berhasil menginfeksi hampir 1juta perangkat android dan mengambil alih akun Google yang berada pada perangkat tersebut

Malware ini pertama kali ditemukan oleh Tim Peneliti Keamanan dari perusahaan Check Point. Menurut tim tersebut, setelah malware ini menginfeksi perangkat android selanjutnya dia akan mencuri “authorization token” dari akun google pada perangkat tersebut lalu kemudian dipakai untuk mengakses berbagai layanan google yang lain seperti Google Play, Gmail, Google Photos, Google Drive, dll.

sumber gambar: blog.checkpoint.com
sumber gambar: blog.checkpoint.com

Authorization token adalah sebuah mekanisme yang dipakai untuk mengakses berbagai layanan milik Google. Kode atau token ini diberikan oleh Google ketika seorang user atau pengguna berhasil login kedalam salah satu layanannya. Ketika seorang hacker berhasil mencuri token ini maka dia akan mendapatkan akses ke berbagai layanan google yang lain karena hacker berpura-pura sebagai pemilik akun yang sah dan Google tidak bisa membedakannya

Infeksi dari malware ini terjadi ketika korban menginstall aplikasi pihak ketiga yang telah terinfeksi Gooligan sebelumnya. Setelah terinstall kemudian malware ini akan mengirimkan informasi perangkat tersebut ke server Command & Control (C&C) untuk kemudian mendownload exploit lain yang sesuai dengan perangkat tersebut untuk keperluan rooting atau mendapatkan akses root. Jika rooting ini berhasil maka malware akan mendapatkan akses penuh terhadap perangkat tersebut. Proses rooting ini memanfaatkan celah keamanan pada android yang sebelumnya telah dipublikasikan yakni VROOT (CVE-2013-6282) dan Towelroot (CVE-2014-3153).

Setelah mendapatkan akses root, Gooligan akan kembali mendownload malware lain dari server C&C. Malware ini berupa modul yang diinstall pada perangkat yang telah terinfeksi tanpa sepengetahuan pengguna. Modul ini kemudian menginfeksi layanan Google Play dan Google Mobile Services (GMS). Hasil dari infeksi ini kemudian memungkinkan Gooligan untuk melakukan beberapa hal seperti berikut ini:

  • Mencuri authorization token milik pengguna perangkat tersebut
  • Menginstall aplikasi dari Google Play dan memberikan rating untuk meningkatkan reputasi aplikasi tersebut
  • Menginstall adware tanpa sepengetahuan pengguna untuk kemudian memberikan keuntungan finansial bagi hacker
sumber gambar: blog.checkpoint.com
sumber gambar: blog.checkpoint.com

Menurut tim peneliti tersebut saat ini malware tersebut telah tersebar diberbagai belahan dunia, Asia merupakan negara paling banyak terinfeksi dengan persentase sebanyak 57% disusul kemudian Amerika dengan 19%, Afrika 15% dan Eropa 9%. Sementara versi android yang paling banyak terinfeksi adalah Android 4 (Jelly Bean, Kitkat) dan Android 5 (Lollipop)

Tim Peneliti Keamanan dari Check Point telah menyediakan website yang khusus dipakai untuk mendeteksi apakah akun gmail kita telah diambil alih oleh malware ini atau belum. Website tersebut dapat diakses pada link berikut
https://gooligan.checkpoint.com/

Saran lain yang direkomendasikan jika perangkat kita telah terinfeksi malware ini adalah dengan melakukan install ulang Android pada perangkat yang telah terinfeksi tersebut. Install ulang ini biasa disebut dengan istilah flashing. Setelah dilakukan flashing selanjutnya dianjurkan untuk mengganti password akun gmail.

Untuk mencegah infeksi berikutnya dari malware yang sama atau malware yang lain dapat mengikuti tips berikut ini
10 Tips Keamanan pada Smartphone (Android/iOS)

Referensi:
More Than 1 Million Google Accounts Breached by Gooligan

Berikan komentar

This site uses Akismet to reduce spam. Learn how your comment data is processed.