超過100萬谷歌帳戶被Gooligan黑了
Android惡意軟體的一個新變種Gooligan黑掉了超過100萬Google帳戶,由Check Point研究團隊剛剛釋出:
由於我們的安全研究小組所做的大量工作,我們今天揭露了一個新的令人震驚的惡意軟體活動。 該攻擊活動名為Gooligan,破壞了超過一百萬個Google帳戶的安全性。 這個數字繼續上升,每天還有13,000個入侵裝置。
我們的研究揭示了惡意軟體如何感染的裝置和盜取身份驗證令牌,可用於訪問來自Google Play,Gmail,Google照片,Google文件,G套件,Google雲端硬碟等的資料。
Check Point立即向Google安全小組通報了此廣告系列的相關資訊。 我們的研究人員正與Google密切合作,調查Gooligan傳播系列的來源。
谷歌Android安全主管Adrian Ludwig說:“我們讚賞Check Point的研究及其合作伙伴關係,因為我們一起努力瞭解這些問題。 “作為我們持續努力保護使用者免受Ghost Push系列惡意軟體的一部分,我們採取了許多措施來保護我們的使用者,並提高Android生態系統的整體安全性。
Google與我們共同解決這個問題,我們深感鼓舞。 我們選擇聯合力量繼續圍繞Gooligan進行調查。 Google還表示,他們正在採取許多措施,包括主動通知受影響的帳戶,撤銷受影響的令牌和部署SafetyNet改進,以保護使用者在未來的這些應用程式。
Gooligan可能會影響Android4和5,佔據市場裝置的74%。 其中約57%的裝置位於亞洲,約9%位於歐洲。
在我們的研究中,我們發現了幾十個被這種惡意軟體感染的假應用程式。 如果您已下載下面附錄A中列出的其中一個應用程式,表示您可能已被感染。 您可以在“設定 - >應用程式”中檢視您的應用程式列表,如果您發現其中一個應用程式,請考慮下載防病毒產品,如Check Point ZoneAlarm,以檢查您是否確實感染了。
我們注意到,數百個電子郵件地址與全世界的企業帳戶相關聯。
您可以檢查您的帳戶透過訪問,我們建立了以下網站檢查洩露: https://gooligan.checkpoint.com/ 。
如果您的帳戶被黑,則需要執行以下步驟:
需要在移動裝置上進行乾淨的作業系統安裝。 由於這是一個複雜的過程,我們建議關閉您的裝置,並請求認證的技術人員或您的移動服務提供商,要求您的裝置“重新重新整理”。在此過程後立即更改您的Google帳戶密碼。
我們在第三方Android應用商店中的數十個合法外觀的應用中發現了Gooligan惡意軟體程式碼的痕跡。 這些商店是Google Play的一個有吸引力的替代品,因為他們的許多應用都是免費的,或提供免費版本的付費應用。 然而,這些商店和他們銷售的應用程式的安全性並不總是被驗證。 Gooligan感染的應用程式也可以使用網路釣魚騙局安裝,攻擊者透過簡訊或其他訊息服務向受到感染的應用程式的廣播連結到不知情的使用者。
Gooligan如何出現?
我們的研究人員第一次遇到Gooligan程式碼的惡意SnapPea應用程式的最後一年。 在這個惡意軟體被幾個安全廠商報告,並歸因於不同的惡意軟體家族像Ghostpush,MonkeyTest和Xinyinhe。 到2015年年底,惡意軟體的建立者大多是沉默,直到2016年的夏天,惡意軟體再次出現一個更復雜的架構,注入惡意程式碼到Android系統程式。
惡意軟體今天工作方式的變化可能是透過欺詐性廣告活動來為廣告系列融資。 惡意軟體模擬合法廣告網路提供的應用廣告的點選次數,並強制該應用在裝置上安裝。 當其中一個應用程式安裝成功時,攻擊者會被網路付費。
Check Point收集的日誌顯示,Gooligan每天從侵入的裝置或超過200萬個應用程式中欺詐地安裝至少3萬個應用程式。
Gooligan如何工作?
當使用者在易受攻擊的Android裝置上下載並安裝Gooligan感染的應用程式時,感染開始。 我們的研究小組在第三方應用商店中發現了感染的應用,但也可以由Android使用者直接透過在網路釣魚攻擊訊息中點選惡意連結進行下載。 安裝受感染的應用程式後,它會將有關裝置的資料傳送到廣告系列的命令和控制(C&C)伺服器。
Gooligan然後從C&C伺服器下載一個rootkit,利用多個Android 4和5漏洞,包括著名的VROOT(CVE-2013-6282)和Towelroot(CVE-2014-3153)。 這些漏洞仍然困擾著今天的許多裝置,因為修復它們的安全補丁可能不適用於某些版本的Android,或者補丁從來沒有由使用者安裝。 如果生成成功,攻擊者可以完全控制裝置,並可以遠端執行特權命令。
在獲得root訪問許可權後,Gooligan從C&C伺服器下載一個新的惡意模組,並將其安裝在受感染的裝置上。 該模組將程式碼注入執行谷歌Play或GMS(谷歌移動服務)來模擬使用者行為,以便Gooligan可以躲避檢測,首次應用該技術的是移動惡意軟體HummingBad 。 該模組允許Gooligan:
竊取使用者的Google電子郵件帳戶和身份驗證令牌資訊
安裝來自Google Play的應用程式,並對其評分以提高聲譽
安裝廣告軟體以產生收入
廣告伺服器不知道使用其服務的應用程式是否為惡意程式,從Google Play下載的應用程式名稱為Gooligan。 安裝應用程式後,廣告服務會向攻擊者支付費用。 然後,惡意軟體會使用從C&C伺服器接收內容並在Google Play上留下積極的評價和高評分。
我們的研究小組能夠透過Google Play應用評論交叉引用來自入侵裝置的資料,從而確定此活動的幾個例項。 這是另一個提醒,為什麼使用者不應該只依靠評分來決定是否信任一個應用程式。
與HummingBad類似,惡意軟體還偽裝裝置標識資訊(例如IMEI和IMSI)兩次下載應用程式,似乎安裝正在不同的裝置上進行,從而使潛在收入翻倍。
Google授權令牌是訪問Google帳戶和使用者的相關服務的一種方式。 一旦使用者成功登入此帳戶,就會由Google釋出此令牌。
當授權令牌被駭客竊取後,他們可以使用此令牌訪問與該使用者相關的所有Google服務,包括Google Play,Gmail,Google文件,Google雲端硬碟和Google相簿。
雖然Google實施了多種機制(例如雙步身份驗證),以防止駭客攻擊Google帳戶,但盜用的授權令牌會繞過此機制,並允許駭客在使用者被視為已登入的情況下訪問所需的許可權。
Gooligan已經黑掉了超過一百萬個Google帳戶。 我們認為這是目前最大的Google帳戶入侵行為,我們正與Google合作繼續調查。 我們鼓勵Android使用者驗證他們的帳戶是否被入侵。
附錄A:Gooligan感染的應用程式列表
Perfect cleaner
Demo
WiFi Enhancer
Snake
gla.pev.zvh
Html5 Games
Demm
memory booster
แข่งรถสุดโหด
StopWatch
Clear
ballSmove_004
Flashlight Free
memory booste
Touch Beauty
Demoad
Small Blue Point
Battery Monitor
清理大師
UC Mini
Shadow Crush
Sex Photo
小白點
tub.ajy.ics
Hip Good
Memory Booster
phone booster
SettingService
Wifi Master
Fruit Slots
System Booster
Dircet Browser
FUNNY DROPS
Puzzle Bubble-Pet Paradise
GPS
Light Browser
Clean Master
YouTube Downloader
KXService
Best Wallpapers
Smart Touch
Light Advanced
SmartFolder
youtubeplayer
Beautiful Alarm
PronClub
Detecting instrument
Calculator
GPS Speed
Fast Cleaner
Blue Point
CakeSweety
Pedometer
Compass Lite
Fingerprint unlock
PornClub
com.browser.provider
Assistive Touch
Sex Cademy
OneKeyLock
Wifi Speed Pro
Minibooster
com.so.itouch
com.fabullacop.loudcallernameringtone
Kiss Browser
Weather
Chrono Marker
Slots Mania
Multifunction Flashlight
So Hot
Google
HotH5Games
Swamm Browser
Billiards
TcashDemo
Sexy hot wallpaper
Wifi Accelerate
Simple Calculator
Daily Racing
Talking Tom 3
com.example.ddeo
Test
Hot Photo
QPlay
Virtual
Music Cloud
由於我們的安全研究小組所做的大量工作,我們今天揭露了一個新的令人震驚的惡意軟體活動。 該攻擊活動名為Gooligan,破壞了超過一百萬個Google帳戶的安全性。 這個數字繼續上升,每天還有13,000個入侵裝置。
我們的研究揭示了惡意軟體如何感染的裝置和盜取身份驗證令牌,可用於訪問來自Google Play,Gmail,Google照片,Google文件,G套件,Google雲端硬碟等的資料。
Check Point立即向Google安全小組通報了此廣告系列的相關資訊。 我們的研究人員正與Google密切合作,調查Gooligan傳播系列的來源。
谷歌Android安全主管Adrian Ludwig說:“我們讚賞Check Point的研究及其合作伙伴關係,因為我們一起努力瞭解這些問題。 “作為我們持續努力保護使用者免受Ghost Push系列惡意軟體的一部分,我們採取了許多措施來保護我們的使用者,並提高Android生態系統的整體安全性。
Google與我們共同解決這個問題,我們深感鼓舞。 我們選擇聯合力量繼續圍繞Gooligan進行調查。 Google還表示,他們正在採取許多措施,包括主動通知受影響的帳戶,撤銷受影響的令牌和部署SafetyNet改進,以保護使用者在未來的這些應用程式。
Gooligan可能會影響Android4和5,佔據市場裝置的74%。 其中約57%的裝置位於亞洲,約9%位於歐洲。
在我們的研究中,我們發現了幾十個被這種惡意軟體感染的假應用程式。 如果您已下載下面附錄A中列出的其中一個應用程式,表示您可能已被感染。 您可以在“設定 - >應用程式”中檢視您的應用程式列表,如果您發現其中一個應用程式,請考慮下載防病毒產品,如Check Point ZoneAlarm,以檢查您是否確實感染了。
我們注意到,數百個電子郵件地址與全世界的企業帳戶相關聯。
您可以檢查您的帳戶透過訪問,我們建立了以下網站檢查洩露: https://gooligan.checkpoint.com/ 。
如果您的帳戶被黑,則需要執行以下步驟:
需要在移動裝置上進行乾淨的作業系統安裝。 由於這是一個複雜的過程,我們建議關閉您的裝置,並請求認證的技術人員或您的移動服務提供商,要求您的裝置“重新重新整理”。在此過程後立即更改您的Google帳戶密碼。
我們在第三方Android應用商店中的數十個合法外觀的應用中發現了Gooligan惡意軟體程式碼的痕跡。 這些商店是Google Play的一個有吸引力的替代品,因為他們的許多應用都是免費的,或提供免費版本的付費應用。 然而,這些商店和他們銷售的應用程式的安全性並不總是被驗證。 Gooligan感染的應用程式也可以使用網路釣魚騙局安裝,攻擊者透過簡訊或其他訊息服務向受到感染的應用程式的廣播連結到不知情的使用者。
Gooligan如何出現?
我們的研究人員第一次遇到Gooligan程式碼的惡意SnapPea應用程式的最後一年。 在這個惡意軟體被幾個安全廠商報告,並歸因於不同的惡意軟體家族像Ghostpush,MonkeyTest和Xinyinhe。 到2015年年底,惡意軟體的建立者大多是沉默,直到2016年的夏天,惡意軟體再次出現一個更復雜的架構,注入惡意程式碼到Android系統程式。
惡意軟體今天工作方式的變化可能是透過欺詐性廣告活動來為廣告系列融資。 惡意軟體模擬合法廣告網路提供的應用廣告的點選次數,並強制該應用在裝置上安裝。 當其中一個應用程式安裝成功時,攻擊者會被網路付費。
Check Point收集的日誌顯示,Gooligan每天從侵入的裝置或超過200萬個應用程式中欺詐地安裝至少3萬個應用程式。
Gooligan如何工作?
當使用者在易受攻擊的Android裝置上下載並安裝Gooligan感染的應用程式時,感染開始。 我們的研究小組在第三方應用商店中發現了感染的應用,但也可以由Android使用者直接透過在網路釣魚攻擊訊息中點選惡意連結進行下載。 安裝受感染的應用程式後,它會將有關裝置的資料傳送到廣告系列的命令和控制(C&C)伺服器。
Gooligan然後從C&C伺服器下載一個rootkit,利用多個Android 4和5漏洞,包括著名的VROOT(CVE-2013-6282)和Towelroot(CVE-2014-3153)。 這些漏洞仍然困擾著今天的許多裝置,因為修復它們的安全補丁可能不適用於某些版本的Android,或者補丁從來沒有由使用者安裝。 如果生成成功,攻擊者可以完全控制裝置,並可以遠端執行特權命令。
在獲得root訪問許可權後,Gooligan從C&C伺服器下載一個新的惡意模組,並將其安裝在受感染的裝置上。 該模組將程式碼注入執行谷歌Play或GMS(谷歌移動服務)來模擬使用者行為,以便Gooligan可以躲避檢測,首次應用該技術的是移動惡意軟體HummingBad 。 該模組允許Gooligan:
竊取使用者的Google電子郵件帳戶和身份驗證令牌資訊
安裝來自Google Play的應用程式,並對其評分以提高聲譽
安裝廣告軟體以產生收入
廣告伺服器不知道使用其服務的應用程式是否為惡意程式,從Google Play下載的應用程式名稱為Gooligan。 安裝應用程式後,廣告服務會向攻擊者支付費用。 然後,惡意軟體會使用從C&C伺服器接收內容並在Google Play上留下積極的評價和高評分。
我們的研究小組能夠透過Google Play應用評論交叉引用來自入侵裝置的資料,從而確定此活動的幾個例項。 這是另一個提醒,為什麼使用者不應該只依靠評分來決定是否信任一個應用程式。
與HummingBad類似,惡意軟體還偽裝裝置標識資訊(例如IMEI和IMSI)兩次下載應用程式,似乎安裝正在不同的裝置上進行,從而使潛在收入翻倍。
Google授權令牌是訪問Google帳戶和使用者的相關服務的一種方式。 一旦使用者成功登入此帳戶,就會由Google釋出此令牌。
當授權令牌被駭客竊取後,他們可以使用此令牌訪問與該使用者相關的所有Google服務,包括Google Play,Gmail,Google文件,Google雲端硬碟和Google相簿。
雖然Google實施了多種機制(例如雙步身份驗證),以防止駭客攻擊Google帳戶,但盜用的授權令牌會繞過此機制,並允許駭客在使用者被視為已登入的情況下訪問所需的許可權。
Gooligan已經黑掉了超過一百萬個Google帳戶。 我們認為這是目前最大的Google帳戶入侵行為,我們正與Google合作繼續調查。 我們鼓勵Android使用者驗證他們的帳戶是否被入侵。
附錄A:Gooligan感染的應用程式列表
Perfect cleaner
Demo
WiFi Enhancer
Snake
gla.pev.zvh
Html5 Games
Demm
memory booster
แข่งรถสุดโหด
StopWatch
Clear
ballSmove_004
Flashlight Free
memory booste
Touch Beauty
Demoad
Small Blue Point
Battery Monitor
清理大師
UC Mini
Shadow Crush
Sex Photo
小白點
tub.ajy.ics
Hip Good
Memory Booster
phone booster
SettingService
Wifi Master
Fruit Slots
System Booster
Dircet Browser
FUNNY DROPS
Puzzle Bubble-Pet Paradise
GPS
Light Browser
Clean Master
YouTube Downloader
KXService
Best Wallpapers
Smart Touch
Light Advanced
SmartFolder
youtubeplayer
Beautiful Alarm
PronClub
Detecting instrument
Calculator
GPS Speed
Fast Cleaner
Blue Point
CakeSweety
Pedometer
Compass Lite
Fingerprint unlock
PornClub
com.browser.provider
Assistive Touch
Sex Cademy
OneKeyLock
Wifi Speed Pro
Minibooster
com.so.itouch
com.fabullacop.loudcallernameringtone
Kiss Browser
Weather
Chrono Marker
Slots Mania
Multifunction Flashlight
So Hot
HotH5Games
Swamm Browser
Billiards
TcashDemo
Sexy hot wallpaper
Wifi Accelerate
Simple Calculator
Daily Racing
Talking Tom 3
com.example.ddeo
Test
Hot Photo
QPlay
Virtual
Music Cloud
More Than 1 Million Google Accounts Breached by Go
[該貼被banq於2016-12-01 14:41修改過]
相關文章
- 知名OCR軟體被曝洩露超過20萬份客戶檔案
- 我的Google Adsense帳戶被關Go
- 谷歌:Google Play應用數達100萬 超過App Store 成全球最大應用商店谷歌GoAPP
- 索尼PS Vita日本銷量超過100萬臺
- 我的Google Adsense帳戶被關(續)Go
- Twitter:5600萬Twitter帳戶沒有關注其他帳戶 佔註冊使用者數32%
- 2015年以來 Twitter已封禁超90萬涉嫌恐怖主義帳戶
- 以太坊客戶端 Geth 出漏洞,超過 2000 萬美元的數字貨幣被盜客戶端
- SpyCloud :2022年超過7億個賬戶資訊被洩露 2200萬臺裝置被感染Cloud
- Appsfire:蘋果認證應用已超過100萬APP蘋果
- 谷歌,被塵封的過去!谷歌
- SAP的通過支票進行客戶清帳操作
- 微軟:微軟帳戶使用洩露密碼達4400萬個微軟密碼
- 伺服器被黑了,被刪庫勒索伺服器
- 轉載:谷歌翻譯有超過200萬活躍使用者谷歌
- SynchroTrap : 一個月內檢測 200 萬欺詐帳戶
- 國內超過2萬架的無人機 竟半數為“黑戶口”無人機
- EskyFun資料洩露,超過100萬Android玩家受到影響Android
- Temple Run:Google Play Store下載超過1000萬次 實現盈利Go
- Stout Risius Ross:超過40%的美國租戶面臨被驅逐的風險ROS
- Cursor Cache Hit Ratio超過100%
- Win10系統下管理員帳戶被鎖定如何解決Win10
- 擁有帳戶檔案
- Linux 帳戶管理(轉)Linux
- 微信資料包告:日運動量不超過100步,2100萬人宅出新境界
- 該帳戶當前被鎖定,所以使用者 'sa' 登入失敗。系統管理員無法將該帳戶解鎖。
- KingData:BSC和以太坊上的DApp已經超過100萬個APP
- Wooga:iOS遊戲《Diamond Dash》下載量已經超過1100萬次iOS遊戲
- 通過google身份驗證器加強linux帳戶安全GoLinux
- 谷歌帳戶獲得新的驗證功能 以防止網路釣魚攻擊谷歌
- mysql例項cpu超過100%分析MySql
- Feevisor:19%的亞馬遜專業賣家年銷售額超過100萬美元亞馬遜
- ORACLE 帳戶 狀態說明Oracle
- 微軟研究發現其 4400 萬個帳戶使用已洩露的密碼微軟密碼
- 在黑暗網路上交易超過2300萬張被盜信用卡
- 谷歌Pixel 3系列被曝錄影聲音過小 谷歌:設計如此谷歌
- 光貓超級帳號密碼,重置光貓獲取超級帳號密碼密碼
- 蘋果開發者帳戶知識大盤點蘋果