超过100万谷歌帐户被Gooligan黑了

16-12-01 banq
         

Android恶意软件的一个新变种Gooligan黑掉了超过100万Google帐户,由Check Point研究团队刚刚发布:

由于我们的安全研究小组所做的大量工作,我们今天揭露了一个新的令人震惊的恶意软件活动。 该攻击活动名为Gooligan,破坏了超过一百万个Google帐户的安全性。 这个数字继续上升,每天还有13,000个入侵设备。

我们的研究揭示了恶意软件如何感染的设备和盗取身份验证令牌,可用于访问来自Google Play,Gmail,Google照片,Google文档,G套件,Google云端硬盘等的数据。

Check Point立即向Google安全小组通报了此广告系列的相关信息。 我们的研究人员正与Google密切合作,调查Gooligan传播系列的来源。

谷歌Android安全主管Adrian Ludwig说:“我们赞赏Check Point的研究及其合作伙伴关系,因为我们一起努力了解这些问题。 “作为我们持续努力保护用户免受Ghost Push系列恶意软件的一部分,我们采取了许多措施来保护我们的用户,并提高Android生态系统的整体安全性。

Google与我们共同解决这个问题,我们深感鼓舞。 我们选择联合力量继续围绕Gooligan进行调查。 Google还表示,他们正在采取许多措施,包括主动通知受影响的帐户,撤销受影响的令牌和部署SafetyNet改进,以保护用户在未来的这些应用程序。

Gooligan可能会影响Android4和5,占据市场设备的74%。 其中约57%的设备位于亚洲,约9%位于欧洲。

在我们的研究中,我们发现了几十个被这种恶意软件感染的假应用程序。 如果您已下载下面附录A中列出的其中一个应用程式,表示您可能已被感染。 您可以在“设置 - >应用程序”中查看您的应用程序列表,如果您发现其中一个应用程序,请考虑下载防病毒产品,如Check Point ZoneAlarm,以检查您是否确实感染了。

我们注意到,数百个电子邮件地址与全世界的企业帐户相关联。

您可以检查您的帐户通过访问,我们创建了以下网站检查泄露: https://gooligan.checkpoint.com/ 。

如果您的帐户被黑,则需要执行以下步骤:

需要在移动设备上进行干净的操作系统安装。 由于这是一个复杂的过程,我们建议关闭您的设备,并请求认证的技术人员或您的移动服务提供商,要求您的设备“重新刷新”。在此过程后立即更改您的Google帐户密码。

我们在第三方Android应用商店中的数十个合法外观的应用中发现了Gooligan恶意软件代码的痕迹。 这些商店是Google Play的一个有吸引力的替代品,因为他们的许多应用都是免费的,或提供免费版本的付费应用。 然而,这些商店和他们销售的应用程序的安全性并不总是被验证。 Gooligan感染的应用程序也可以使用网络钓鱼骗局安装,攻击者通过短信或其他消息服务向受到感染的应用程序的广播链接到不知情的用户。

Gooligan如何出现?

我们的研究人员第一次遇到Gooligan代码的恶意SnapPea应用程序的最后一年。 在这个恶意软件被几个安全厂商报告,并归因于不同的恶意软件家族像Ghostpush,MonkeyTest和Xinyinhe。 到2015年年底,恶意软件的创建者大多是沉默,直到2016年的夏天,恶意软件再次出现一个更复杂的架构,注入恶意代码到Android系统进程。

恶意软件今天工作方式的变化可能是通过欺诈性广告活动来为广告系列融资。 恶意软件模拟合法广告网络提供的应用广告的点击次数,并强制该应用在设备上安装。 当其中一个应用程序安装成功时,攻击者会被网络付费。

Check Point收集的日志显示,Gooligan每天从侵入的设备或超过200万个应用程序中欺诈地安装至少3万个应用程序。

Gooligan如何工作?

当用户在易受攻击的Android设备上下载并安装Gooligan感染的应用程序时,感染开始。 我们的研究小组在第三方应用商店中发现了感染的应用,但也可以由Android用户直接通过在网络钓鱼攻击消息中点击恶意链接进行下载。 安装受感染的应用程序后,它会将有关设备的数据发送到广告系列的命令和控制(C&C)服务器。

Gooligan然后从C&C服务器下载一个rootkit,利用多个Android 4和5漏洞,包括着名的VROOT(CVE-2013-6282)和Towelroot(CVE-2014-3153)。 这些漏洞仍然困扰着今天的许多设备,因为修复它们的安全补丁可能不适用于某些版本的Android,或者补丁从来没有由用户安装。 如果生成成功,攻击者可以完全控制设备,并可以远程执行特权命令。

在获得root访问权限后,Gooligan从C&C服务器下载一个新的恶意模块,并将其安装在受感染的设备上。 该模块将代码注入运行谷歌Play或GMS(谷歌移动服务)来模拟用户行为,以便Gooligan可以躲避检测,首次应用该技术的是移动恶意软件HummingBad 。 该模块允许Gooligan:

窃取用户的Google电子邮件帐户和身份验证令牌信息

安装来自Google Play的应用程式,并对其评分以提高声誉

安装广告软件以产生收入

广告伺服器不知道使用其服务的应用程式是否为恶意程式,从Google Play下载的应用程式名称为Gooligan。 安装应用程式后,广告服务会向攻击者支付费用。 然后,恶意软件会使用从C&C服务器接收内容并在Google Play上留下积极的评价和高评分。

我们的研究小组能够通过Google Play应用评论交叉引用来自入侵设备的数据,从而确定此活动的几个实例。 这是另一个提醒,为什么用户不应该只依靠评分来决定是否信任一个应用程序。

与HummingBad类似,恶意软件还伪装设备标识信息(例如IMEI和IMSI)两次下载应用程序,似乎安装正在不同的设备上进行,从而使潜在收入翻倍。

Google授权令牌是访问Google帐户和用户的相关服务的一种方式。 一旦用户成功登录此帐户,就会由Google发布此令牌。

当授权令牌被黑客窃取后,他们可以使用此令牌访问与该用户相关的所有Google服务,包括Google Play,Gmail,Google文档,Google云端硬盘和Google相册。

虽然Google实施了多种机制(例如双步身份验证),以防止黑客攻击Google帐户,但盗用的授权令牌会绕过此机制,并允许黑客在用户被视为已登录的情况下访问所需的权限。

Gooligan已经黑掉了超过一百万个Google帐户。 我们认为这是目前最大的Google帐户入侵行为,我们正与Google合作继续调查。 我们鼓励Android用户验证他们的帐户是否被入侵。

附录A:Gooligan感染的应用程序列表

Perfect Cleaner

Demo

WiFi Enhancer

Snake

gla.pev.zvh

Html5 Games

Demm

memory booster

แข่งรถสุดโหด

StopWatch

Clear

ballSmove_004

Flashlight Free

memory booste

Touch Beauty

Demoad

Small Blue Point

Battery Monitor

清理大师

UC Mini

Shadow Crush

Sex Photo

小白点

tub.ajy.ics

Hip Good

Memory Booster

phone booster

SettingService

Wifi Master

Fruit Slots

System Booster

Dircet Browser

FUNNY DROPS

Puzzle Bubble-Pet Paradise

GPS

Light Browser

Clean Master

YouTube Downloader

KXService

Best Wallpapers

Smart Touch

Light Advanced

SmartFolder

youtubeplayer

Beautiful Alarm

PronClub

Detecting instrument

Calculator

GPS Speed

Fast Cleaner

Blue Point

CakeSweety

Pedometer

Compass Lite

Fingerprint unlock

PornClub

com.browser.provider

Assistive Touch

Sex Cademy

OneKeyLock

Wifi Speed Pro

Minibooster

com.so.itouch

com.fabullacop.loudcallernameringtone

Kiss Browser

Weather

Chrono Marker

Slots Mania

Multifunction Flashlight

So Hot

Google

HotH5Games

Swamm Browser

Billiards

TcashDemo

Sexy hot wallpaper

Wifi Accelerate

Simple Calculator

Daily Racing

Talking Tom 3

com.example.ddeo

Test

Hot Photo

QPlay

Virtual

Music Cloud

More Than 1 Million Google Accounts Breached by Go

[该贴被banq于2016-12-01 14:41修改过]