超100万谷歌账户被黑

你在用Android手机吗?要当心了!一款新的Android恶意软件已经入侵了超过100万谷歌账户,还在以每日感染13,000个设备的速度蔓延。主要针对使用Android 4.x(果冻豆和KitKat)和Android 5.x(棒棒糖)这两个系统版本的用户——目前市场上有74%的Android手机都仍在运行这两个版本的系统。

这应该是有史以来最严重的谷歌账户被黑事件。据Check Point统计,这次被Gooligan恶意软件感染的重灾区就在亚洲。总体分布如下图所示:

info_4_revised_11.23.16-768x512-100696291-large.jpg

恶意软件Googligan

这个叫做Gooligan的恶意软件可以植入到这些Android设备上,窃取设备上存储的谷歌账户和身份验证token信息。只要入侵者掌握了这些信息,他们就能劫持你的谷歌账号,从各类谷歌App中获取你的敏感信息。包括Gmail, Google Photos, Google Docs, Google Play, Google Drive和G Suite。

微信截图_20161201140719.png

Check Point的研究人员对Gooligan的代码追根溯源之后发现,这款恶意程序实际上来自多个看起来合法的第三方Android应用商店。只要用户下载并安装了某些感染了Googligan的App(共86个),恶意软件就会开始将你的设备信息和个人数据发送给它的C&C(Command and Control)服务器。

Check Point在博客中说,其传播方式主要是第三方应用商店,不过也有部分Android用户是点击了钓鱼链接。感染Gooligan的应用安装到手机上之后,就会向C&C服务器发回数据。Gooligan随后从C&C服务器下载rootkit,利用Android 4/5系统的多个漏洞,像是 VROOT (CVE-2013-6282)和Towelroot (CVE-2014-3153)等。

root一旦成功,攻击者就可以彻底控制设备,远程执行高权限指令。在获得root权限之后,Googligan还会从C&C服务器下载新的恶意模块。模块会植入代码运行Google Play或者GMS,伪装成用户行为避免被检测到——先前HummingBad也是这么干的。这个模块会做下面这些事:

盗取用户的谷歌邮箱账户和认证token信息;

从Google Play商店安装应用,为应用刷分;

安装广告程序,获得经济利益。

值得一提的是,这里的谷歌authorization token是访问谷歌账户的一种方式,用户成功登录谷歌账户之后,谷歌就会颁发token。攻击者盗取认证token之后,就能用来访问用户所有的谷歌服务,包括Google Play、Gmail、Google Photos、Docs、Drive等等。

对用户来说,谷歌账户登录的确是需要双重认证过程的。不过盗取认证token不存在这种机制了。

此外,广告服务器本身其实并不知道应用是否恶意,它会给Gooligan发送应用名称,令其从Google Play商店下载。应用安装后,广告服务就会给Gooligan的作者付钱。随后恶意程序还会给应用好评和较高的评分(所以看评分下应用是不靠谱的啊)。下图就是刷出来的评价和评分…

gooligan2.png

另外,和HummingBad一样,恶意程序还会伪造设备识别信息(IMEI和IMSI),这样一个应用就可以下载两次,让应用商店认为是从两台不同的设备上下载的。这样攻击者获得的收益也就有了双份。

“这类漏洞对很多Android设备来说仍然是个麻烦,因为针对它们的补丁可能不适用于所有Android系统,又或者很多用户根本就懒得去升级补丁。”

谷歌采取的应急办法

谷歌Android安全的负责人Adrian Ludwig提到谷歌针对那些感染恶意程序的设备,已经对其谷歌账户信息进行了锁定,还为这些用户如何重置提供提供了指示信息。谷歌另外也期望通过网络服务提供商(ISP)来关闭这个恶意软件,因为ISP提供互联网接入业务,C&C服务器就是利用它来控制Gooligan的。

同时,谷歌还从Google Play上移除了所有与恶意软件有关的App,只不过本来Gooligan主要就是通过第三方的App平台传播的,所以风险依旧存在。

此外,谷歌还更新了一个叫做“验证App”的新功能来避免用户下载已经感染的应用。“即使用户是使用Google Play之外的平台来下载,‘验证App’依然可以提醒用户并停止下载。”

info_2_REVISED-11.23.16-Copy.jpg

如何自检?

Check Point专门发布了一个在线工具‘Gooligan Checker’ ,用户可以通过输入自己的谷歌邮箱地址来检查自己有没有被Gooligan感染。

微信截图_20161201140029.png

如果不幸得到了肯定的结果,Ludwig建议用户执行所谓的系统“clean installation”来解决问题,应该是指恢复出厂设置。

自己去运行这个叫做“Flashing”的流程其实还有点复杂,所以谷歌给出的建议是不如直接关机,然后找经认证的技术人员或移动业务供应商来帮你刷机。

不过值得庆幸的是,虽然亚洲是重灾区,国内绝大部分使用Android设备的小伙伴也基本不用担心。毕竟Gooligan针对的都是谷歌账号的相关应用,反正咱们也上不去。

上一篇:亚信安全提醒:勒索软件又现“复古风” 中招之前先备份好重要文件

下一篇:英国NPCC称网络摄像头勒索案件数量急剧增加