Gooligan nasconde in applicazioni Android che utilizzano due patch difetti di root dispositivi infetti.
Immagine: Check Point
Un milione di Google account sono stati compromessi in una frode massiccia campagna di sfruttare i dispositivi Android e Google Play.
Al centro della campagna c’è una nuova variante del malware Android soprannominato Gooligan, nascosto in decine di applicazioni Android che sfruttano due patch difetti Android root dispositivi infetti.
Il malware nabs account e-mail informazioni e token di autenticazione per l’accesso a un account Google. Gli aggressori utilizzare i token per installare selezionare le applicazioni da Google Play su un dispositivo infetto per incrementare in-app entrate pubblicitarie.
Secondo Check Point, che ha segnalato il problema a Google, questi token può essere utilizzato per accedere ai dati da parte di Google Play, Gmail, Google Foto, Google Docs, la Suite G e Google Drive. La società di sicurezza dice un milione di Google account sono stati compromessi in questo modo a partire da agosto, in quello che ritiene sia il più grande account Google violazione di data.
Piuttosto che utilizzare tali token per rubare informazioni, Gooligan infetti dispositivi sono progettati per andare su in modo fraudolento a guadagnare i loro operatori entrate pubblicitarie. Check Point stima che due milioni di applicazioni sono state installate in questo modo negli ultimi tre mesi.
Queste applicazioni guadagnare attaccanti soldi in due modi: ogni app installare i risultati in un pagamento per l’attaccante, mentre le applicazioni anche guadagnare con annunci di servizi che pagano per distribuire annunci attraverso le app installate. Per alimentare il regime, inoltre, il malware forze di dispositivi infetti lasciare recensioni positive e un punteggio alto su Google Play.
Per la sicurezza di Android portare Adrian Ludwig ha detto in un blog che Google aveva trovato alcuna prova che i dati dell’utente è stata letta, aggiungendo che l’obiettivo principale del malware, che è una variante del già noto Fantasma Push, è quello di promuovere applicazioni piuttosto che rubare informazioni.
Google ha rilevato nelle sue 2015 annuale Android security report che un terzo delle applicazioni Android scaricate al di fuori di Google Play sono stati infettati con il Fantasma di Spinta. Il malware infetta fino a 600.000 dispositivi Android al giorno durante il suo picco.
Mentre i dettagli dell’attacco sono stati rilasciati giovedì, un importante tentativo di pulizia che coinvolge diversi di Google squadre, i produttori di cellulari, società di hosting, provider di servizi internet, e le società di ricerca è già in corso.
Google ha anche revocato interessati gettoni e utilizza la Verifica delle Applicazioni su dispositivi Android per bloccare un elenco di Gooligan-applicazioni infette, Ludwig ha detto.
Mentre Gooligan non direttamente in danno degli utenti finali, si tratta di un prezzo per legittimi gli sviluppatori di Android che hanno un momento abbastanza difficile essere trovato tra i due milioni di app su Google Play.
Google nel mese di ottobre tirato fuori di nuovo il rilevamento e il filtraggio in Google Play per combattere in modo fraudolento-app installate e le app falsi giudizi, che tenta di gioco di Google app-algoritmi di individuazione.
“Questi tentativi di violazione non solo gli Sviluppatori di Google Play Politica, ma anche danneggiare la nostra comunità di sviluppatori ostacolando la loro possibilità di essere scoperto o suggerimenti attraverso i nostri sistemi. In ultima analisi, hanno messo fine gli utenti a rischio di fare scelte sbagliate basate su informazioni imprecise, che non è autentico informazioni,” Google ha detto al momento.
Come il Fantasma di Spinta, il Gooligan malware colpisce pre-Android 6.0 Marshmallow dispositivi. Tuttavia, la nuova variante, inoltre, mette a nudo i rischi di sicurezza imposto agli utenti finali da parte di Android disfunzionali sistema di patching, che lascia ampie fasce di oltre un miliardo di telefoni esposti a vecchi bug.
Secondo Check Point, Gooligan guadagni di root su dispositivi infetti, sfruttando Vroot e Towelroot, che hanno conosciuto a partire dal 2013 e 2014, rispettivamente.
“Gooligan potenzialmente interessa dispositivi Android 4 Jelly Bean e KitKat, e 5 Lollipop, che è oltre il 74 per cento nel mercato dei dispositivi di oggi. Circa il 57 per cento di questi dispositivi si trovano in Asia e circa il nove per cento in Europa, il” Check Point ha detto.