Gooligan skjuler i Android-apps, som bruger to unpatched mangler at udrydde inficerede enheder.
Billede: Check Point
En million Google konti er blevet kompromitteret på en massiv svindel kampagne for at udnytte Android-enheder og Google Play.
I hjertet af kampagnen er en ny variant af Android-malware døbt Gooligan, skjult i snesevis af Android-apps, der udnytter to unpatched fejl i Android root inficerede enheder.
Den malware nabs e-mail-konto oplysninger og godkendelse poletter for at få adgang til Google-konti. Angriberne bruge poletter for at installere skal du vælge apps fra Google Play på en inficeret enhed til at øge in-app reklame indtægter.
Ifølge Check Point, som rapporterede problemet til Google, disse poletter kan bruges til at få adgang til data fra Google Play, Gmail, Google Billeder, Google Dokumenter, G Suite, og Google Drive. Den sikkerhed, virksomheden siger, at en million Google konti er blevet kompromitteret på denne måde, da August, i hvad den mener, er den største Google-konto brud til dato.
Snarere end at bruge disse tokens til at stjæle oplysninger, Gooligan-inficerede udstyr er designet til at gå om svigagtigt at tjene deres operatører annonce indtægter. Check Point anslår, at to millioner apps, der er installeret på denne måde i løbet af de seneste tre måneder.
Disse apps tjene angribere penge på to måder: for hver app, installere resultater i en betaling til angriberen, mens apps også optjener indtægter fra annonce tjenester, der betaler for at distribuere annoncer via installerede apps. At fodre den ordning, den malware, der også styrker inficerede enheder til at forlade positive anmeldelser og en høj rating på Google Play.
Android sikkerhed føre Adrian Ludwig sagde i en blog, at Google ikke havde fundet nogen beviser for, at brugerdata har været adgang til, tilføjer, at det vigtigste mål for malware, som er en variant af den allerede kendte Ghost Tryk, er at fremme apps snarere end at stjæle information.
Google bemærkede i sin 2015 årlige Android sikkerhed rapporten, at en tredjedel af Android-programmer, der er hentet uden for Google Play var inficeret med Ghost Tryk. De malware-inficerede op til 600.000 Android-enheder om dagen i løbet af sit højdepunkt.
Mens detaljer om angrebet blev udgivet den torsdag, en større oprydning indsats, der involverer flere Google-hold, håndsæt beslutningstagere, hosting firmaer, Internetudbydere, virksomheder og forskning er allerede på vej.
Google har også inddraget påvirket tokens og bruger du Kontrollere Apps på Android-enheder til at blokere for en liste af Gooligan-inficerede apps, Ludwig sagde.
Mens Gooligan ikke direkte skade for slutbrugerne, at det kommer på en pris for legitime Android-udviklere, der har en hård tid nok til at blive fundet blandt de to millioner apps på Google Play.
Google i oktober udrullet nye registrerings-og filtrering i Google Play til at bekæmpe svigagtigt-installerede apps og falske app anmeldelser, der forsøger at spillet Googles app-discovery algoritmer.
“Disse forsøg ikke kun overtræder Google Play Udvikler-Politik, men også skade vores fællesskab af udviklere, som hæmmer deres chancer for at blive opdaget eller anbefalet gennem vores systemer. I sidste ende, de sætter slutbrugerne risikerer at træffe forkerte beslutninger, der er baseret på urigtige, uægte oplysninger,” sagde Google på det tidspunkt.
Som Ghost Tryk, Gooligan malware påvirker pre-Android 6.0 Skumfidus enheder. Men den nye variant indeholder også bare de sikkerhedsrisici, der er prakket på de endelige brugere af Android dysfunktionelle lappe system, der efterlader store dele af over en milliard telefoner udsat for gamle fejl.
Ifølge Check Point, Gooligan gevinster rod på inficerede enheder ved at udnytte Vroot og Towelroot, som har været kendt for siden henholdsvis 2013 og 2014.
“Gooligan potentielt påvirker enheder på Android 4 Jelly Bean og KitKat, og 5 Slikkepind, som er over 74 procent af markedet enheder i dag. Omkring 57 procent af disse enheder er beliggende i Asien og omkring ni procent er i Europa,” Check Point sagt.