安卓手機(jī)用戶當(dāng)心了!新Android惡意軟件入侵超100萬谷歌賬戶
你在用Android手機(jī)嗎?要當(dāng)心了!一款新的Android惡意軟件已經(jīng)入侵了超過100萬谷歌賬戶,還在以每日感染13,000個(gè)設(shè)備的速度蔓延。主要針對(duì)使用Android 4.x(果凍豆和KitKat)和Android 5.x(棒棒糖)這兩個(gè)系統(tǒng)版本的用戶——目前市場(chǎng)上有74%的Android手機(jī)都仍在運(yùn)行這兩個(gè)版本的系統(tǒng)。
這應(yīng)該是有史以來最嚴(yán)重的谷歌賬戶被黑事件。據(jù)Check Point統(tǒng)計(jì),這次被Gooligan惡意軟件感染的重災(zāi)區(qū)就在亞洲??傮w分布如下圖所示:
惡意軟件Googligan
這個(gè)叫做Gooligan的惡意軟件可以植入到這些Android設(shè)備上,竊取設(shè)備上存儲(chǔ)的谷歌賬戶和身份驗(yàn)證token信息。只要入侵者掌握了這些信息,他們就能劫持你的谷歌賬號(hào),從各類谷歌App中獲取你的敏感信息。包括Gmail, Google Photos, Google Docs, Google Play, Google Drive和G Suite。
Check Point的研究人員對(duì)Gooligan的代碼追根溯源之后發(fā)現(xiàn),這款惡意程序?qū)嶋H上來自多個(gè)看起來合法的第三方Android應(yīng)用商店。只要用戶下載并安裝了某些感染了Googligan的App(共86個(gè)),惡意軟件就會(huì)開始將你的設(shè)備信息和個(gè)人數(shù)據(jù)發(fā)送給它的C&C(Command and Control)服務(wù)器。
Check Point在博客中說,其傳播方式主要是第三方應(yīng)用商店,不過也有部分Android用戶是點(diǎn)擊了釣魚鏈接。感染Gooligan的應(yīng)用安裝到手機(jī)上之后,就會(huì)向C&C服務(wù)器發(fā)回?cái)?shù)據(jù)。Gooligan隨后從C&C服務(wù)器下載rootkit,利用Android 4/5系統(tǒng)的多個(gè)漏洞,像是 VROOT (CVE-2013-6282)和Towelroot (CVE-2014-3153)等。
root一旦成功,攻擊者就可以徹底控制設(shè)備,遠(yuǎn)程執(zhí)行高權(quán)限指令。在獲得root權(quán)限之后,Googligan還會(huì)從C&C服務(wù)器下載新的惡意模塊。模塊會(huì)植入代碼運(yùn)行Google Play或者GMS,偽裝成用戶行為避免被檢測(cè)到——先前HummingBad也是這么干的。這個(gè)模塊會(huì)做下面這些事:
盜取用戶的谷歌郵箱賬戶和認(rèn)證token信息; 從Google Play商店安裝應(yīng)用,為應(yīng)用刷分; 安裝廣告程序,獲得經(jīng)濟(jì)利益。
值得一提的是,這里的谷歌authorization token是訪問谷歌賬戶的一種方式,用戶成功登錄谷歌賬戶之后,谷歌就會(huì)頒發(fā)token。攻擊者盜取認(rèn)證token之后,就能用來訪問用戶所有的谷歌服務(wù),包括Google Play、Gmail、Google Photos、Docs、Drive等等。
對(duì)用戶來說,谷歌賬戶登錄的確是需要雙重認(rèn)證過程的。不過盜取認(rèn)證token不存在這種機(jī)制了。
此外,廣告服務(wù)器本身其實(shí)并不知道應(yīng)用是否惡意,它會(huì)給Gooligan發(fā)送應(yīng)用名稱,令其從Google Play商店下載。應(yīng)用安裝后,廣告服務(wù)就會(huì)給Gooligan的作者付錢。隨后惡意程序還會(huì)給應(yīng)用好評(píng)和較高的評(píng)分(所以看評(píng)分下應(yīng)用是不靠譜的啊)。下圖就是刷出來的評(píng)價(jià)和評(píng)分…
另外,和HummingBad一樣,惡意程序還會(huì)偽造設(shè)備識(shí)別信息(IMEI和IMSI),這樣一個(gè)應(yīng)用就可以下載兩次,讓應(yīng)用商店認(rèn)為是從兩臺(tái)不同的設(shè)備上下載的。這樣攻擊者獲得的收益也就有了雙份。
“這類漏洞對(duì)很多Android設(shè)備來說仍然是個(gè)麻煩,因?yàn)獒槍?duì)它們的補(bǔ)丁可能不適用于所有Android系統(tǒng),又或者很多用戶根本就懶得去升級(jí)補(bǔ)丁。”
谷歌采取的應(yīng)急辦法
谷歌Android安全的負(fù)責(zé)人Adrian Ludwig提到谷歌針對(duì)那些感染惡意程序的設(shè)備,已經(jīng)對(duì)其谷歌賬戶信息進(jìn)行了鎖定,還為這些用戶如何重置提供提供了指示信息。谷歌另外也期望通過網(wǎng)絡(luò)服務(wù)提供商(ISP)來關(guān)閉這個(gè)惡意軟件,因?yàn)镮SP提供互聯(lián)網(wǎng)接入業(yè)務(wù),C&C服務(wù)器就是利用它來控制Gooligan的。
同時(shí),谷歌還從Google Play上移除了所有與惡意軟件有關(guān)的App,只不過本來Gooligan主要就是通過第三方的App平臺(tái)傳播的,所以風(fēng)險(xiǎn)依舊存在。
此外,谷歌還更新了一個(gè)叫做“驗(yàn)證App”的新功能來避免用戶下載已經(jīng)感染的應(yīng)用。“即使用戶是使用Google Play之外的平臺(tái)來下載,‘驗(yàn)證App’依然可以提醒用戶并停止下載。”
如何自檢?
Check Point專門發(fā)布了一個(gè)在線工具‘Gooligan Checker’ ,用戶可以通過輸入自己的谷歌郵箱地址來檢查自己有沒有被Gooligan感染。
如果不幸得到了肯定的結(jié)果,Ludwig建議用戶執(zhí)行所謂的系統(tǒng)“clean installation”來解決問題,應(yīng)該是指恢復(fù)出廠設(shè)置。
自己去運(yùn)行這個(gè)叫做“Flashing”的流程其實(shí)還有點(diǎn)復(fù)雜,所以谷歌給出的建議是不如直接關(guān)機(jī),然后找經(jīng)認(rèn)證的技術(shù)人員或移動(dòng)業(yè)務(wù)供應(yīng)商來幫你刷機(jī)。
不過值得慶幸的是,雖然亞洲是重災(zāi)區(qū),國內(nèi)絕大部分使用Android設(shè)備的小伙伴也基本不用擔(dān)心。畢竟Gooligan針對(duì)的都是谷歌賬號(hào)的相關(guān)應(yīng)用,反正咱們也上不去。