Предприятието за сигурност Check Point разкри нова кампания за злонамерен софтуер, включваща използване на злонамерени приложения за коренни устройства с Android, открадване на маркери за удостоверяване на Google и нелегитимно набиране на инсталационни номера и преглед на оценките за други приложения.
Зловредният софтуер, наречен "Gooligan" от Check Point, използва известни уязвимости, за да получи root достъп - пълен контрол - над устройства, работещи с Android 4.x и 5.x, преди да го използва за кражба на имена на акаунти в Google и маркери за удостоверяване. Това позволи на извършителите дистанционно да инсталират други приложения от Google Play на устройствата на жертвите и да публикуват фалшиви отзиви в тяхно име.
На теория злонамерен софтуер като този, който е предназначен да открадне подробности за удостоверяване, може да е имал достъп до други области на акаунти в Google, като Gmail или Photos. Няма доказателства, че "Gooligan" е направил нещо подобно - вместо това се оказва, че е създаден, за да печели пари за създателите си чрез нелегитимни инсталации на приложения.
Това, което е поразително за този вид злонамерен софтуер, е броят на засегнатите акаунти - повече от един милион от началото на кампанията, според Check Point. Мнозинството - 57 процента - от тези сметки са били компрометирани в Азия, според фирмата. Следват Америка с 19 процента, Африка с 15 процента и Европа с 9 процента. Check Point е създал сайт, където можете да проверите дали акаунта ви е засегнат; Google също така казва, че се обръща към всеки, който може да е бил ударен.
Преди днешното публично съобщение Google и Check Point работят заедно за подобряване на сигурността на Android.
Ние оценяваме както изследванията на Check Point, така и тяхното партньорство, тъй като работихме заедно, за да разберем тези проблеми, "каза Адриан Лудвиг, директор на Google за сигурност на Android." Като част от нашите постоянни усилия за защита на потребителите от семейството на Ghost Push от злонамерен софтуер, предприехме множество стъпки, за да защитим нашите потребители и да подобрим сигурността на екосистемата Android като цяло."
Check Point също така отбелязва, че технологията на Google „Verify Apps“ е актуализирана за справяне с приложения, използващи уязвимости като тази. Това е важно, тъй като макар да не помага на устройства, които вече са компрометирани, той блокира бъдещите инсталации на 92 процента от активните Android устройства, дори и без нужда от актуализации на фърмуера.
Подобно на други приложения, базирани на приложения, функцията на Google за „Проверка на приложения“ сега защитава 92 процента от активните устройства от „Gooligan“.
„Проверете приложения“ е вграден в Google Play Services и е активиран по подразбиране в Android 4.2 Jelly Bean - представлява 92.4 процента от активните устройства въз основа на текущите числа. (В по-старите версии може да се активира ръчно.) Подобно на останалите Play Services, той редовно се актуализира на заден план и блокира инсталирането на злонамерени приложения и може да посъветва потребителите да деинсталират наличен зловреден софтуер.
В по-новите версии на Android, основните подвизи, използвани от „Gooligan“ за коренни устройства, ще бъдат адресирани чрез пачове за сигурност. Толкова важно, колкото милион компрометирани акаунти звучи, това е също пример за стратегия за защита на Google за базиран на приложения злонамерен софтуер, работещ по предназначение, блокиращ инсталациите на засегнатите приложения в по-голямата част от екосистемата.
Ако се притеснявате, че вашият акаунт може да бъде засегнат, можете да посетите сайта на Check Point. В бъдеще съществуващите защитни мерки на Google - част от Play Services за последните четири години - ще гарантират, че сте защитени.
Актуализация: Водещият инженер на Google за сигурността на Android, Адриан Лудвиг, има обширно надписване на фона на днешното съобщение за „Googlian“ и какво прави Google с него в Google+.
