Sikkerhedsfirmaet Check Point har afsløret en ny malware-kampagne, der involverer brug af ondsindede apps til at rodfeste Android-enheder, stjæle Google-godkendelsesmærker og illegitimt opsætte installationsnumre og gennemgå scoringer for andre apps.
Malwaren, der kaldes "Gooligan" af Check Point, bruger kendte sårbarheder til at få root-adgang - komplet kontrol - over enheder, der kører Android 4.x og 5.x, før de bruger dette til at stjæle Google-kontonavne og autentificeringstokener. Dette gjorde det muligt for gerningsmændene at fjerninstallere andre apps fra Google Play på ofrenes enheder og sende falske anmeldelser i deres navn.
I teorien kan malware som denne, der er designet til at stjæle godkendelsesdetaljer, have været i stand til at få adgang til andre områder af Google-konti, f.eks. Gmail eller Fotos. Der er ingen bevis for, at "Gooligan" gjorde noget lignende - i stedet ser det ud til, at det var bygget til at tjene penge til dets skabere gennem uægte appinstallationer.
Det, der slår ved denne belastning af malware, er antallet af konti, der er berørt - mere end en million siden kampagnen startede, ifølge Check Point. Størstedelen - 57 procent - af disse konti blev kompromitteret i Asien, ifølge firmaet. Dernæst var Amerika med 19 procent, Afrika med 15 procent og Europa med 9 procent. Check Point har oprettet et websted, hvor du kan kontrollere, om din konto er berørt; Google siger også, at det når ud til alle, der kan være blevet ramt.
I forkant af dagens offentlige meddelelse har Google og Check Point arbejdet sammen for at forbedre Android's sikkerhed.
Vi værdsætter både Check Point's forskning og deres partnerskab, da vi har arbejdet sammen for at forstå disse problemer, "sagde Adrian Ludwig, Googles direktør for Android-sikkerhed." Som en del af vores løbende bestræbelser på at beskytte brugere fra Ghost Push-familien fra malware, vi har taget adskillige skridt for at beskytte vores brugere og forbedre sikkerheden i Android-økosystemet generelt."
Check Point bemærker også, at Googles "Verify Apps" -teknologi er blevet opdateret til at håndtere apps, der bruger sårbarheder som denne. Det er vigtigt, selv om det ikke hjælper enheder, der allerede er kompromitteret, spærrer det fremtidige installationer på 92 procent af aktive Android-enheder, selv uden behov for firmwareopdateringer.
Som andre app-baserede udnyttelser beskytter Googles funktion 'Verify Apps' nu 92 procent af de aktive enheder mod 'Gooligan'.
"Bekræft apps" er indbygget i Google Play Services og aktiveret som standard i Android 4.2 Jelly Bean - tegner sig for 92, 4 procent af de aktive enheder, baseret på de nuværende numre. (På ældre versioner kan det aktiveres manuelt.) Ligesom resten af Play Services opdateres det regelmæssigt i baggrunden, og det blokerer installationen af ondsindede apps og kan råde brugerne til at afinstallere malware, der allerede er der.
På nyere versioner af Android vil de underliggende udnyttelser, der bruges af "Gooligan" til rodenheder, være blevet adresseret gennem sikkerhedsrettelser. Så lige så markant som en million kompromitterede konti lyder, er dette også et eksempel på Googles sikkerhedsstrategi for app-baseret malware, der fungerer som designet, og blokerer installationer af berørte apps i det store flertal af økosystemet.
Hvis du er bekymret for, at din konto kan være påvirket, kan du slå Check Point's websted op. I fremtiden vil Googles eksisterende sikkerhedsforanstaltninger - en del af Play-tjenester i de sidste fire år - sikre dig, at du er beskyttet.
Opdatering: Googles førende ingeniør for Android-sikkerhed, Adrian Ludwig, har en omfattende opskrivning på baggrund af dagens "Googlian" -meddelelse, og hvad Google gør ved det, over på Google+.
