搜狐首页 科技 法医秦明

手机搜狐

SOHU.COM

有史以来最严重:超100万谷歌账户被黑,Android恶意程序Gooligan正极速蔓延

你在用Android手机吗?要当心了!一款新的Android恶意软件已经入侵了超过100万谷歌账户,还在以每日感染13,000个设备的速度蔓延。

主要针对使用Android4.x(果冻豆和KitKat)和Android5.x(棒棒糖)这两个系统版本的用户——目前市场上有74%的Android手机都仍在运行这两个版本的系统。

这应该是有史以来最严重的谷歌账户被黑事件。

据Check Point统计,这次被Gooligan恶意软件感染的重灾区就在亚洲。总体分布如下图所示:

恶意软件Googligan

这个叫做Gooligan的恶意软件可以植入到这些Android设备上,窃取设备上存储的谷歌账户和身份验证token信息。

只要入侵者掌握了这些信息,他们就能劫持你的谷歌账号,从各类谷歌App中获取你的敏感信息。包括Gmail, Google Photos, Google Docs, Google Play, Google Drive和G Suite。

Check Point的研究人员对Gooligan的代码追根溯源之后发现,这款恶意程序实际上来自多个看起来合法的第三方Android应用商店。

只要用户下载并安装了某些感染了Googligan的App(共86个),恶意软件就会开始将你的设备信息和个人数据发送给它的CC(Command and Control)服务器。

Check Point在博客中说,其传播方式主要是第三方应用商店,不过也有部分Android用户是点击了钓鱼链接。感染Gooligan的应用安装到手机上之后,就会向CC服务器发回数据。

Gooligan随后从CC服务器下载rootkit,利用Android 4/5系统的多个漏洞,像是 VROOT (CVE-2013-6282)和Towelroot (CVE-2014-3153)等。

root一旦成功,攻击者就可以彻底控制设备,远程执行高权限指令。在获得root权限之后,Googligan还会从CC服务器下载新的恶意模块。

模块会植入代码运行Google Play或者GMS,伪装成用户行为避免被检测到——先前HummingBad也是这么干的。这个模块会做下面这些事:

盗取用户的谷歌邮箱账户和认证token信息;

从Google Play商店安装应用,为应用刷分;

安装广告程序,获得经济利益。

精选