澳门新葡亰信誉平台游戏安卓手机用户当心了!新Android恶意软件入侵超100万谷歌账户

by admin on 2020年5月15日

FireEye Labs的安全研究人员发现了一个源自中国的Android恶意程序家族,
它正迅速传播到全世界20多个国家,它的指令控制服务器(CC)域名是aps.kemoge.net,因此被取名为Kemoge。Kemoge将合法应用
重新打包,伪装成合法应用上传到第三方应用商店,通过网站和广告宣传,用户一旦安装之后它会收集设备信息上传到广告服务器,然后用广告轰炸用户。
Kemoge一开始只是恼人,但很快它会变得邪恶。它会调用一个多重加密的压缩文件,该压缩文件包含了最多8个root利用可执行工具,去获取root权
限,将AndroidRTService.apk植入到系统分区/system。植入到系统分区之后用户将设备恢复出厂状态也无法抹掉恶意程序。恶意程序
然后联系aps.kemoge.net获取指令,将IMEI、IMSI、储存信息和安装应用等数据上传到CC服务器,CC服务器发回指令卸载安全应用和流
行的合法应用。研究人员分析的样本代码中全都包含简体中文字符,他们从中发现了一名叫Zhang
Long的中国开发者。 

北京时间11月6日上午消息,移动安全公司Lookout
Security发现了一种新型的“木马广告软件”,表明网络犯罪分子正在探索新的创收方式。

via Solidot

研究人员在数千款Android应用中发现了这种恶意软件,它们会植入Facebook、Snapchat和Twitter等热门应用欺骗用户。更加糟糕的是,由于这些软件几乎不可能移除,迫使用户不得不彻底更换设备。

你在用Android手机吗?要当心了!一款新的Android恶意软件已经入侵了超过100万谷歌账户,还在以每日感染13,000个设备的速度蔓延。主要针对使用Android
4.x(果冻豆和KitKat)和Android
5.x(棒棒糖)这两个系统版本的用户——目前市场上有74%的Android手机都仍在运行这两个版本的系统。

澳门新葡亰信誉平台游戏,网络犯罪分子首先从Google
Play商店获取合法应用,然后将其重新包装,并植入广告软件,再上传到第三方应用商店。在很多情况下,这些应用仍然具备完整功能,而且不会向设备用户发出提醒。

这应该是有史以来最严重的谷歌账户被黑事件。据Check
Point统计,这次被Gooligan恶意软件感染的重灾区就在亚洲。总体分布如下图所示:

其大致模式如下:用户从第三方应用商店安装了一款应用,这款应用会自动root,获取整个手机系统的权限,就像在Android安全系统中戳了一个洞,给黑客打开了更多的攻击渠道。自此之后,这款应用便会定期投放广告,从而为攻击者创造收入。

澳门新葡亰信誉平台游戏 1

“由于这些广告软件root了设备,并且像系统应用一样自行安装,所以几乎不可能移除,通常会迫使受害者彻底更换设备。”Lookout
Security在博客中说。好消息是,通过谷歌官方应用商店Google
Play安装应用的用户不会受此影响。

恶意软件Googligan

该公司还表示,目前至少存在3大类似的木马广告软件,包括Shuanet、Kemoge和Shudun。

这个叫做Gooligan的恶意软件可以植入到这些Android设备上,窃取设备上存储的谷歌账户和身份验证token信息。只要入侵者掌握了这些信息,他们就能劫持你的谷歌账号,从各类谷歌App中获取你的敏感信息。包括Gmail,
Google Photos, Google Docs, Google Play, Google Drive和G Suite。

研究人员写道:“这三大广告软件共上传了2万款重新封装的应用,包括Okta的两步验证应用。”

澳门新葡亰信誉平台游戏 2

最令人头痛的是,这些应用可能会获取他们并不想获取的信息,包括敏感的企业数据。

Check
Point的研究人员对Gooligan的代码追根溯源之后发现,这款恶意程序实际上来自多个看起来合法的第三方Android应用商店。只要用户下载并安装了某些感染了Googligan的App(共86个),恶意软件就会开始将你的设备信息和个人数据发送给它的C&C(Command
and Control)服务器。

研究人员称,目前受到这种软件影响最大的是美国和德国,俄罗斯、巴西和墨西哥同样受到了一定的影响,预计影响范围还会进一步扩大。

Check
Point在博客中说,其传播方式主要是第三方应用商店,不过也有部分Android用户是点击了钓鱼链接。感染Gooligan的应用安装到手机上之后,就会向C&C服务器发回数据。Gooligan随后从C&C服务器下载rootkit,利用Android
4/5系统的多个漏洞,像是 VROOT (CVE-2013-6282)和Towelroot
(CVE-2014-3153)等。

root一旦成功,攻击者就可以彻底控制设备,远程执行高权限指令。在获得root权限之后,Googligan还会从C&C服务器下载新的恶意模块。模块会植入代码运行Google
Play或者GMS,伪装成用户行为避免被检测到——先前HummingBad也是这么干的。这个模块会做下面这些事:

盗取用户的谷歌邮箱账户和认证token信息;
从Google Play商店安装应用,为应用刷分;
安装广告程序,获得经济利益。

值得一提的是,这里的谷歌authorization
token是访问谷歌账户的一种方式,用户成功登录谷歌账户之后,谷歌就会颁发token。攻击者盗取认证token之后,就能用来访问用户所有的谷歌服务,包括Google
Play、Gmail、Google Photos、Docs、Drive等等。

对用户来说,谷歌账户登录的确是需要双重认证过程的。不过盗取认证token不存在这种机制了。

此外,广告服务器本身其实并不知道应用是否恶意,它会给Gooligan发送应用名称,令其从Google
Play商店下载。应用安装后,广告服务就会给Gooligan的作者付钱。随后恶意程序还会给应用好评和较高的评分(所以看评分下应用是不靠谱的啊)。下图就是刷出来的评价和评分…

澳门新葡亰信誉平台游戏 3

另外,和HummingBad一样,恶意程序还会伪造设备识别信息(IMEI和IMSI),这样一个应用就可以下载两次,让应用商店认为是从两台不同的设备上下载的。这样攻击者获得的收益也就有了双份。

“这类漏洞对很多Android设备来说仍然是个麻烦,因为针对它们的补丁可能不适用于所有Android系统,又或者很多用户根本就懒得去升级补丁。”

谷歌采取的应急办法

谷歌Android安全的负责人Adrian
Ludwig提到谷歌针对那些感染恶意程序的设备,已经对其谷歌账户信息进行了锁定,还为这些用户如何重置提供提供了指示信息。谷歌另外也期望通过网络服务提供商(ISP)来关闭这个恶意软件,因为ISP提供互联网接入业务,C&C服务器就是利用它来控制Gooligan的。

同时,谷歌还从Google
Play上移除了所有与恶意软件有关的App,只不过本来Gooligan主要就是通过第三方的App平台传播的,所以风险依旧存在。

此外,谷歌还更新了一个叫做“验证App”的新功能来避免用户下载已经感染的应用。“即使用户是使用Google
Play之外的平台来下载,‘验证App’依然可以提醒用户并停止下载。”

澳门新葡亰信誉平台游戏 4

如何自检?

Check Point专门发布了一个在线工具‘Gooligan Checker’
,用户可以通过输入自己的谷歌邮箱地址来检查自己有没有被Gooligan感染。

澳门新葡亰信誉平台游戏 5

如果不幸得到了肯定的结果,Ludwig建议用户执行所谓的系统“clean
installation”来解决问题,应该是指恢复出厂设置。

自己去运行这个叫做“Flashing”的流程其实还有点复杂,所以谷歌给出的建议是不如直接关机,然后找经认证的技术人员或移动业务供应商来帮你刷机。

不过值得庆幸的是,虽然亚洲是重灾区,国内绝大部分使用Android设备的小伙伴也基本不用担心。毕竟Gooligan针对的都是谷歌账号的相关应用,反正咱们也上不去。

【编辑推荐】

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图