Охранная фирма Check Point объявила о новой кампании по борьбе с вредоносными программами, включающей использование вредоносных приложений для рутинга устройств Android, кражи токенов аутентификации Google и незаконного подсчета количества инсталляций и оценки результатов для других приложений.
Вредоносное ПО, названное Check Point «Gooligan», использует известные уязвимости, чтобы получить полный root-доступ - полный контроль - над устройствами под управлением Android 4.x и 5.x, прежде чем использовать его для кражи имен учетных записей Google и токенов аутентификации. Это позволило злоумышленникам удаленно устанавливать другие приложения из Google Play на устройства жертв и публиковать ложные отзывы на свое имя.
Теоретически, подобные вредоносные программы, предназначенные для кражи деталей аутентификации, могли получить доступ к другим областям учетных записей Google, таким как Gmail или Фото. Нет никаких доказательств того, что «Гулиган» делал что-то подобное - вместо этого, похоже, он был создан, чтобы зарабатывать деньги для своих создателей путем незаконной установки приложений.
Что поражает в этом типе вредоносного ПО, так это количество аккаунтов - более миллиона с момента начала кампании, по данным Check Point. По данным фирмы, большинство - 57 процентов - этих счетов были взломаны в Азии. Затем были Америка с 19 процентами, Африка с 15 процентами и Европа с 9 процентами. Check Point создал сайт, на котором вы можете проверить, не затронуты ли ваши учетные записи; Google также говорит, что он обращается к любому, кто, возможно, был поражен.
В преддверии сегодняшнего публичного объявления Google и Check Point совместно работали над улучшением безопасности Android.
Мы высоко ценим как исследования Check Point, так и их сотрудничество, поскольку мы работали вместе, чтобы понять эти проблемы, - сказал Адриан Людвиг, директор Google по безопасности Android. - В рамках наших постоянных усилий по защите пользователей из семейства Ghost Push Мы предприняли множество шагов для защиты наших пользователей и повышения безопасности экосистемы Android в целом ».
Check Point также отмечает, что технология Google «Verify Apps» была обновлена для работы с приложениями, использующими подобные уязвимости. Это важно, потому что, хотя это и не помогает устройствам, которые уже скомпрометированы, оно блокирует будущие установки на 92% активных устройств Android, даже без необходимости обновления прошивки.
Как и другие эксплойты на основе приложений, функция Google «Verify Apps» теперь защищает 92% активных устройств от «Gooligan».
«Verify Apps» встроен в сервисы Google Play и включен по умолчанию в Android 4.2 Jelly Bean - на его долю приходится 92, 4 процента активных устройств, исходя из текущих цифр. (В старых версиях его можно включить вручную.) Как и остальные сервисы Play Services, он регулярно обновляется в фоновом режиме, блокирует установку вредоносных приложений и может посоветовать пользователям удалить уже существующее вредоносное ПО.
В более новых версиях Android основные уязвимости, используемые «Gooligan» для корневых устройств, будут исправлены с помощью исправлений безопасности. Таким образом, как бы ни звучало миллион скомпрометированных учетных записей, это также является примером стратегии безопасности Google для вредоносных программ на основе приложений, работающих в соответствии с замыслом, блокирующих установку уязвимых приложений в подавляющем большинстве экосистем.
Если вы обеспокоены тем, что ваша учетная запись может быть затронута, вы можете перейти на сайт Check Point. В будущем существующие гарантии Google - часть сервисов Play за последние четыре года - обеспечат вашу защиту.
Обновление: ведущий инженер Google по безопасности Android, Адриан Людвиг, имеет обширную рецензию на фоне сегодняшнего объявления «Googlian» и того, что Google делает с этим, в Google+.