Firma ochroniarska Check Point ujawniła nową kampanię złośliwego oprogramowania polegającą na wykorzystywaniu złośliwych aplikacji do rootowania urządzeń z Androidem, kradzieży tokenów uwierzytelniających Google i nielegalnego podnoszenia numerów instalacyjnych oraz sprawdzania wyników innych aplikacji.
Złośliwe oprogramowanie, nazwane przez Check Point „Gooligan”, wykorzystuje znane luki w celu uzyskania dostępu do konta root - pełną kontrolę - nad urządzeniami z Androidem 4.x i 5.x, zanim użyje go do kradzieży nazw kont Google i tokenów uwierzytelniających. Dzięki temu sprawcy mogli zdalnie instalować inne aplikacje z Google Play na urządzeniach ofiar i publikować fałszywe recenzje na ich nazwisko.
Teoretycznie złośliwe oprogramowanie, które służy do kradzieży danych uwierzytelniających, mogło uzyskać dostęp do innych obszarów kont Google, takich jak Gmail lub Zdjęcia. Nie ma dowodów na to, że „Gooligan” zrobił coś takiego - wydaje się, że został zbudowany w celu zarabiania pieniędzy dla swoich twórców poprzez nielegalne instalacje aplikacji.
Tym, co uderza w tym szczepie złośliwego oprogramowania, jest liczba kont, których dotyczy problem - według Check Point - ponad milion od rozpoczęcia kampanii. Według firmy, większość - 57 procent - tych kont została przejęta w Azji. Następne były Ameryki z 19 procentami, Afryka z 15 procentami i Europa z 9 procentami. Check Point utworzył witrynę, na której możesz sprawdzić, czy dotyczy to twojego konta; Google twierdzi również, że dociera do każdego, kto mógł zostać trafiony.
Przed dzisiejszym ogłoszeniem publicznym Google i Check Point pracują wspólnie nad poprawą bezpieczeństwa Androida.
Doceniamy zarówno badania Check Point, jak i ich współpracę, ponieważ wspólnie pracowaliśmy nad zrozumieniem tych problemów ”- powiedział Adrian Ludwig, dyrektor Google ds. Bezpieczeństwa Androida.„ W ramach naszych nieustających wysiłków na rzecz ochrony użytkowników przed rodziną Ghost Push złośliwym oprogramowaniu, podjęliśmy liczne kroki w celu ochrony naszych użytkowników i ogólnej poprawy bezpieczeństwa ekosystemu Androida ”.
Check Point zauważa również, że technologia „Verify Apps” firmy Google została zaktualizowana, aby obsługiwać aplikacje wykorzystujące takie luki. Jest to znaczące, ponieważ chociaż nie pomaga to zagrożonym urządzeniom, blokuje przyszłe instalacje na 92 procentach aktywnych urządzeń z Androidem, nawet bez konieczności aktualizacji oprogramowania układowego.
Podobnie jak inne exploity oparte na aplikacjach, funkcja Google „Verify Apps” chroni teraz 92 procent aktywnych urządzeń przed „Gooligan”.
„Weryfikacja aplikacji” jest wbudowana w Usługi Google Play i domyślnie włączona w systemie Android 4.2 Jelly Bean - stanowiąc 92, 4 procent aktywnych urządzeń, w oparciu o bieżące liczby. (W starszych wersjach można go włączyć ręcznie). Podobnie jak pozostałe usługi Play, jest regularnie aktualizowany w tle, blokuje instalację złośliwych aplikacji i może doradzać użytkownikom, aby odinstalowali złośliwe oprogramowanie, które już tam jest.
W nowszych wersjach Androida luki w zabezpieczeniach używane przez „Gooligan” do rootowania urządzeń zostaną wyeliminowane. Tak znaczący, jak brzmi milion zainfekowanych kont, jest to również przykład strategii bezpieczeństwa Google dla złośliwego oprogramowania opartego na aplikacjach, które działają zgodnie z projektem, blokując instalacje aplikacji, których dotyczy problem, w zdecydowanej większości ekosystemu.
Jeśli obawiasz się, że mogło to mieć wpływ na twoje konto, możesz wejść na stronę Check Point. W przyszłości istniejące zabezpieczenia Google - będące częścią usług Play od czterech lat - zapewnią ochronę.
Aktualizacja: główny inżynier Google ds. Bezpieczeństwa Androida, Adrian Ludwig, ma obszerny opis na tle dzisiejszego ogłoszenia „Googlian” i tego, co Google robi w tej sprawie, w Google+.
