安全公司Check Point透露了一项新的恶意软件活动,该活动涉及使用恶意应用程序来植根Android设备,窃取Google身份验证令牌以及非法收集安装号码以及审核其他应用的得分。
Check Point称之为“Gooligan”的恶意软件使用已知漏洞获取root访问权限 - 完全控制 - 运行Android 4.x和5.x的设备,然后再使用它来窃取Google帐户名和身份验证令牌。 然后,这允许肇事者在受害者的设备上远程安装来自Google Play的其他应用,并在其名称中发布虚假评论。
从理论上讲,此类用于窃取身份验证详细信息的恶意软件可能已经能够访问Google帐户的其他区域,例如Gmail或照片。 没有证据表明“Gooligan”做了这样的事情 - 相反,它似乎是为了通过非法应用程序安装为其创作者赚钱而建立的。
根据Check Point的说法,这种恶意软件的引人注目的是受影响的账户数量 - 自竞选开始以来已超过一百万。 据该公司称,这些账户中的大多数(57%)在亚洲受到了损害。 其次是美洲,占19%,非洲占15%,欧洲占9%。 Check Point已经设置了一个网站,您可以在其中检查您的帐户是否受到影响; 谷歌还表示,它正在向任何可能受到打击的人伸出援助之手。
在今天的公告发布之前,谷歌和Check Point一直在共同努力提高Android的安全性。
我们对Check Point的研究和合作伙伴关系表示赞赏,因为我们共同努力了解这些问题,“谷歌Android安全主管Adrian Ludwig表示。”作为我们保护用户免受Ghost Push系列影响的持续努力的一部分。恶意软件,我们采取了许多措施来保护我们的用户并提高整个Android生态系统的安全性。“
Check Point还指出,Google的“验证应用”技术已经更新,可以处理使用此类漏洞的应用。 这一点很重要,因为虽然它对已经受到攻击的设备没有帮助,但它阻止了92%的活跃Android设备的未来安装,即使不需要固件更新。
与其他基于应用的漏洞一样,Google的“验证应用”功能现在可以保护92%的有源设备免受“Gooligan”的影响。
“验证应用”内置于Google Play服务中,默认情况下在Android 4.2 Jelly Bean中启用 - 占当前数字的92.4%的有效设备。 (在旧版本上,它可以手动启用。)与其他Play服务一样,它会在后台定期更新,并阻止恶意应用程序的安装,并可以建议用户卸载已经存在的恶意软件。
在较新版本的Android上,“Gooligan”用于根设备的底层漏洞将通过安全补丁解决。 因此,对于一百万个受到攻击的帐户而言,这也是一个重要的例子,这也是谷歌基于应用程序的恶意软件安全策略的一个例子,它可以在绝大多数生态系统中阻止受影响应用程序的安装。
如果您担心自己的帐户可能受到影响,可以访问Check Point的网站。 将来,谷歌现有的安全措施 - 过去四年中Play服务的一部分 - 将确保您受到保护。
更新:谷歌Android安全首席工程师阿德里安·路德维希(Adrian Ludwig)在今天的“Googlian”公告的背景下进行了大量的报道,以及谷歌在Google+上做的事情。
