超过100万谷歌帐户被Gooligan恶意软件盗取

前言

基于团队在前期做的大量准备工作,我们将在今天披露一种新型恶意软件活动。该攻击活动被命名为Gooligan,Gooligan已经影响了超过一百万的谷歌账户。当前数字还在上升,且每天有13000个设备被感染。

我们的研究将揭示这款恶意软件如何root被感染设备,并盗取身份验证令牌。身份验证令牌可用于访问Google Play,Gmail,Google照片,Google文档,G套件,Google云端硬盘等的数据。

Gooligan是我们的研究人员去年在SnapPea应用程序中发现的Android恶意软件广告系列的一个新变体。

Check Point立即向Google安全小组通报了此广告系列的相关信息。 我们的研究人员正与Google密切合作,调查Gooligan广告系列的来源。

info_3_revised_11-29-copy-1-768x512

Google与我们共同解决这个问题,我们对此深感鼓舞。 我们选择联合力量并继续围绕Gooligan进行调查。 Google还表示,他们正在采取许多措施,这些措施包括主动通知受影响的帐户,撤销受影响的令牌和部署SafetyNet来保护用户和应用程序。

在下面的章节,我们将提供更多关于Gooligan的更多相关信息。

受影响版本

Gooligan可能会感染运行Android 4 (Jelly Bean, KitKat) 和Android 5 (Lollipop)版本的设备,这些版本市场占有率超过74%,其中有57%的设备在亚洲,大约9%的设备在欧洲。

info_4_revised_11-23-16-768x512

在我们的研究中,我们发现了几十个冒牌app被这种恶意软件感染。 如果您已下载安装下面附录中列出的任意一款app,这便表示您可能已经被感染。 您可以在“设置 – >应用程序”中查看您的应用程序列表,如果您发现其中一个应用程序,请考虑安装杀毒软件,如Check Point 的ZoneAlarm,以确定您是否被感染了。

我们注意到,数百个电子邮件地址与全世界的企业帐户相关联。

如何确定你的谷歌账号是否被盗?

你可访问https://gooligan.checkpoint.com 检查你的账户是被盗用,这是门创建的网站。

如果你的账户已经被感染,请遵循以下步骤操作:

  1. 1.请重新刷机操作,鉴于过程复杂,你可以聘请专业人士为你效劳。
  2. 2.完成上述过程后立即更改你的谷歌账户密码

Android设备如果被感染?

我们带第三方的Android应用商店发现了几十款貌似正规的app都被 Gooligan 感染了,这些第三方应用商店存在的最主要原因是因为里面的应用都是免费的,甚至是官方应用商店中收费的app在这里都可找到免费破解版。不过,这里面的app安全性无法保障,很多app都没有安全验证。被Gooligan感染的app也可以使用网络钓鱼骗局安装。攻击者l利用短信或其它消息服务向不知情的用户发送包含恶意软件的链接。

谁编写的Gooligan?

去年,我们团队在冒牌的SnapPea app中首次发现了Gooligan代码。与此同时,这款恶意软件被几个安全厂商同时报告,并将款这款恶意软件归类像Ghostpush,MonkeyTest和Xinyinhe等不同的恶意软件家族。2015年底,这款恶意软件一直处于沉寂状态,直到2016年夏,这款恶意软件被重新编写架构,可以注入恶意代码到Android系统进程中。

今天,恶意软件的工作方式已经转变为推广欺诈性广告来赚取广告商资金支持。恶意软件模拟广告点击,并强制将自身安装的被感染的设备上。 一旦受感染的app成功安装,攻击者便获得报酬。

Check Point研究员收集的日志显示,攻击活动爆发后, Gooligan感染超过30000个app并被在安装超过200万台设备上。

Gooligan 工作原理

当用户在易受攻击的Android设备中下载并安装了被Gooligan感染的app时,攻击活动便开始了。我们研究小组在第三方应用商店发现了被感染的,受感染的app也可以通过钓鱼链接传播并被用户点击链接进行过下载安装。当设备安装好感染的app后,恶意软件便会将这台设备的相关数据和广告指令发送到(C&C)服务器上。

然后,Gooligan利用多个Android4和Android5的漏洞从C&C服务器下载rookit,这些漏洞包括著名的 VROOT (CVE-2013-6282) 和Towelroot (CVE-2014-3153)。当前漏洞至今仍然困扰多数的Android设备,因为修复补丁不适用于某些Android版本,导致某些用户无法安装补丁。恶意软件一旦安装成功,攻击者可以完全控制受感染的设备并远程执行特权命令。

在获得root访问权限后,Gooligan从C&C服务器下载一个新的恶意模块,并将其安装在受感染的设备上。此模块将代码注入运行到Google Play或GMS(Google移动服务)中。Gooligan模仿用户行为而避免被检测到,这是移动恶意软件HummingBad首次出现的技术。该模块允许Gooligan:

  • 窃取用户的Google电子邮件帐户和身份验证令牌信息
  • 安装Google Play的app,并对其评分,以提高他们的声誉
  • 安装广告软件赚取收入

广告服务器无法判断使用它的服务的app是否是恶意软件,一旦app安装成功,广告服务商便会想攻击者支付费用。然后,恶意软件会利用从C&C服务器接收到的内容进行高评价。

我们研究小组在Google pay app 评分中发现一些来之恶意软件评论的数据。这是我们的友情提醒,不要单纯依赖评分来判断app的是否可信。

gooligan1-768x169

作为受害者,用户留下的两个例子也被发现在攻击者的记录上。

gooligan2

向其中一个欺诈性应用程序提供虚假评论和评论的示例。

gooligan3-300x85

同一个用户设备上面发现两个假冒的app,不过用户并不知情

与HummingBad类似,恶意软件还修改设备标识信息(例如IMEI和IMSI)两次下载app安装,修改设备标识信息后看起来像是在不同的设备上安装,从而使潜在收入翻倍。

google4

Gooligan从google play 下载的app之一

什么是Google授权令牌?

Google授权令牌是访问Google帐户和用户的相关服务的一种方式。 一旦用户成功登录此帐户,就会由Google发布。

当授权令牌被黑客窃取后,他们可以使用此令牌访问与该用户相关的所有Google服务,包括Google Play,Gmail,Google文档,Google云端硬盘和Google相册。

虽然Google实施了多种机制(例如双因素身份验证)来防止黑客攻击Google帐户,但盗用的授权令牌会绕过此机制,并允许黑客在用户被视为已登录的情况下访问所需的权限。

总结

Gooligan已经影响超过了一百万个Google帐户。 我们认为,这是迄今为止最大的Google帐户感染事件,我们与Google继续合作调查。 我们鼓励Android用户验证他们的帐户是否受到影响。

附录:被感染的app列表

  • Perfect Cleaner
  • Demo
  • WiFi Enhancer
  • Snake
  • gla.pev.zvh
  • Html5 Games
  • Demm
  • memory booster
  • แข่งรถสุดโหด
  • StopWatch
  • Clear
  • ballSmove_004
  • Flashlight Free
  • memory booste
  • Touch Beauty
  • Demoad
  • Small Blue Point
  • Battery Monitor
  • 清理大师
  • UC Mini
  • Shadow Crush
  • Sex Photo
  • 小白点
  • tub.ajy.ics
  • Hip Good
  • Memory Booster
  • phone booster
  • SettingService
  • Wifi Master
  • Fruit Slots
  • System Booster
  • Dircet Browser
  • FUNNY DROPS
  • Puzzle Bubble-Pet Paradise
  • GPS
  • Light Browser
  • Clean Master
  • YouTube Downloader
  • KXService
  • Best Wallpapers
  • Smart Touch
  • Light Advanced
  • SmartFolder
  • youtubeplayer
  • Beautiful Alarm
  • PronClub
  • Detecting instrument
  • Calculator
  • GPS Speed
  • Fast Cleaner
  • Blue Point
  • CakeSweety
  • Pedometer
  • Compass Lite
  • Fingerprint unlock
  • PornClub
  • com.browser.provider
  • Assistive Touch
  • Sex Cademy
  • OneKeyLock
  • Wifi Speed Pro
  • Minibooster
  • com.so.itouch
  • com.fabullacop.loudcallernameringtone
  • Kiss Browser
  • Weather
  • Chrono Marker
  • Slots Mania
  • Multifunction Flashlight
  • So Hot
  • Google
  • HotH5Games
  • Swamm Browser
  • Billiards
  • TcashDemo
  • Sexy hot wallpaper
  • Wifi Accelerate
  • Simple Calculator
  • Daily Racing
  • Talking Tom 3
  • com.example.ddeo
  • Test
  • Hot Photo
  • QPlay
  • Virtual
  • Music Cloud

【来源blog.checkpoint.com :mottion小编整理发布】

原创文章,作者:Tank,如若转载,请注明出处:http://www.mottoin.com/news/92954.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code