О новом наступлении хакеров на Google сообщила основанная в Израиле и имеющая офисы по всему миру компания Check Point, занимающаяся вопросами кибербезопасности. По данным её научно-исследовательских групп, с помощью вредоносного ПО Gooligan похищены данные более чем миллиона учётных записей пользователей из разных точек планеты. Количество пострадавших устройства каждый день увеличивается на 13 тысяч.
Gooligan крадёт маркеры аутентификации, токены, которые используются для доступа к данным из Google Play, Gmail, Google Фото, Google Документы, Google Drive, и многое другое.
По данным исследователей, Gooligan - это новый вариант обнаруженной в прошлом году вредоносной программы SnapPea , которая поражает Android.
Check Point немедленно сообщил службе безопасности Google о своём открытии, и сегодня компании вместе ищут источник Gooligan.
Наиболее опасен Gooligan для устройств на Android 4 (Jelly Bean, KitKat) и 5 (Lollipop), которые установлены сегодня более чем на 74% устройств. Примерно 57% инфицированных устройств расположены в Азии и около 9% в Европе.
Вредоносное ПО загружается вместе с фальшивыми приложениями, скачать которые можно следуя по непроверенной рекламной ссылке. После установки зараженное приложение отправляет данные об устройстве на сервер компании-заказчика, и автоматически загруженный Gooligan пытается вскрыть корневую папку. Иногда укоренению противодействуют патчи безопасности, но если укоренение прошло успешно, атакующий получает полный контроль над устройством и может удалённо выполнять привилегированные команды.
После достижения корневого доступа, Gooligan загружает новый вредоносный модуль с сервера C & C и устанавливает его на заражённом устройстве. Этот модуль вводит код в Google Play или GMS (Google Mobile Services) , чтобы имитировать обычное поведение пользователя. Таким образом, Gooligan может долгое время оставаться необнаруженным.
Среди возможностей Gooligan не только доступ к учётной записи электронной почты Google и информации о пользователе. Gooligan может устанавливать приложения из Google Play, чтобы оценить их и поднять свою репутацию, установить рекламные приложения для получения доходов.
Серверы объявлений, которые не знают было ли обращение искренним или злонамеренным, отправляют Gooligan названия приложений для загрузки с Google Play. После установки приложения, сервис объявлений платит нападающему. Затем вредоносная программа оставляет положительный отзыв и высокий рейтинг на Google Play с помощью контента, который он получает от сервера C & C.
Исследователи из Check Point идентифицировали несколько примеров такой деятельности, анализируя "общение" вскрытого устройства с обзорами Google Play. Вывод был неутешительным: не стоит полагаться исключительно на рейтинги, чтобы решить, стоит ли доверять приложению.
