Gooligan gömmer sig i Android-appar som använder två datorer brister till rot-infekterade enheter.
Bild: Check Point
En miljon Google-konton har äventyras i ett omfattande bedrägeri kampanj som utnyttjar Android-enheter och Google Play.
I hjärtat av kampanjen är en ny variant av Android-malware dubbade Gooligan, dold i massor av Android-appar som utnyttjar två unpatched brister i Android till rot-infekterade enheter.
Malware nabs e-postkonto information och authentication tokens för att få tillgång till Google-konton. Angriparna använda polletter för att installera välj appar från Google Play på en infekterad enhet för att öka in-app-reklam intäkter.
Enligt Check Point, som rapporterade problemet till Google, dessa tokens som kan användas för att få tillgång till data från Google Play Google, Gmail, Google Bilder, Google Docs, G Svit, och Google Drive. Den säkerhet som bolaget säger en miljon Google-konton har äventyras på detta sätt sedan augusti, i vad vi tror är den största Google-konto brott hittills.
I stället för att använda dessa tokens för att stjäla information, Gooligan-infekterade enheter är utformade för att gå om på ett bedrägligt sätt att tjäna deras operatörer annonsintäkter. Check Point uppskattar att två miljoner appar som har installerats på detta sätt under de tre senaste månaderna.
Dessa program angriparna tjänar pengar på två sätt: för varje app installera resultat i en betalning till angriparen, medan apps också tjäna intäkter från annons-tjänster som betalar för att distribuera annonser via installerade appar. För att mata systemet, malware också krafter infekterade enheter att lämna positiva recensioner och höga betyg på Google Play.
Android säkerhet leda Adrian Ludwig sade i en blogg som Google hade funnit några belägg för att användaruppgifter har visats, och tillägger att det viktigaste målet av skadlig kod, vilket är en variant av den redan kända Spöke Push, är att främja apps, snarare än stjäla information.
Google konstaterade i sin 2015 årliga Android säkerhet rapporten att en tredjedel av Android-appar laddas ner utanför Google Play var infekterade med Ghost Push. Skadlig kod på smittade upp till 600 000 Android-enheter per dag under sin höjdpunkt.
Medan detaljer om attacken som släpptes på torsdagen, en stor sanering insats där flera Google-grupper, telefontillverkare, webbhotell, Isp, forskning och företag är redan på väg.
Google har också återkallas påverkas polletter och använder Verifiera Appar på Android-enheter för att blockera en lista över Gooligan-infekterade appar, Ludwig sa.
Medan Gooligan inte direkt skadar slutanvändare, om det har ett pris för legitima Android-utvecklare som har ett svårt nog som finns bland de två miljoner appar finns nu på Google Play.
Google i oktober rullade ut nya upptäckt och filtrering i Google Play för att bekämpa bedrägligt-installerade program och falska app recensioner, som försök att spelet Googles app-discovery algoritmer.
“Dessa försök inte bara bryter mot Utvecklare på Google Play Politik, men också skada vår gemenskap av utvecklare genom att hindra deras chanser att bli upptäckt eller rekommenderade genom våra system. I slutändan, de sätter slutet användare på risken för att göra fel beslut bygger på felaktiga, icke autentiska uppgifter,” Google sade på den tiden.
Som Spöke Tryck, Gooligan malware påverkar pre-Android 6.0 Marshmallow-enheter. Men den nya varianten också blottlägger de säkerhetsrisker som pådyvlas på slutet användare av Android dysfunktionella lapp-system, vilket lämnar stora delar av över en miljard mobiltelefoner utsatt för gamla buggar.
Enligt Check Point, Gooligan av roten på infekterade enheter genom att utnyttja Vroot och Towelroot, som har varit kända sedan 2013 och 2014.
“Gooligan potentiellt påverkar enheter på Android 4 Jelly Bean och KitKat, och 5 Klubba, som är över 74 procent av marknaden enheter idag. Ca 57 procent av dessa enheter finns i Asien och cirka nio procent är i Europa,” Check Point sagt.