Menu

Malware Gooligan generuje falešná stažení a hodnocení v Obchodě Play

Možná jste někdy slyšeli o aplikacích v Obchodě Play, jejichž hodnocení a počty stažení neodpovídají skutečnosti. Pokud jste přemýšleli nad tím, jak je to možné, pak odpověď můžete najít v tomto článku. Malware Gooligan totiž využívá bezpečnostních děr ve starších verzích Androidu, konkrétně 4.2/4.3 Jelly Bean, 4.4 KitKat a 5.0 Lollipop. Mezi činnosti, které provádí, patří mimo jiné odesílání falešných hodnocení a recenzí a generování stažení aplikací z Obchodu Play.

Co malware Gooligan umí a dělá?

Tím ale funkce této škodlivé aplikace ani zdaleka nekončí. Z dalších schopností jmenujme třeba krádež autentizačních tokenů Google, jež lze použít pro kompromitaci účtu. Stranou bychom neměli nechat ani schopnost rootnout hostitelské zařízení, a tím nad ním získat prakticky absolutní kontrolu. V principu funguje následovně:

  1. Uživatel si nainstaluje škodlivou aplikaci z alternativního zdroje mimo Obchod Play.
  2. Malware získá data o zařízení, na kterém běží, a stáhne balíček, který se postará o zisk práv roota.
  3. Provede rootnutí systému, získá úplný přístup k systému a stáhne další moduly.
  4. Ukradne autentizační tokeny Google a odešle je. Díky nim se útočník může dostat k Fotkám Google, do Obchodu Play, na Disk Google, do Gmailu a k dalším službám.
  5. Stahuje z Obchodu aplikace, instaluje je a posílá falešné recenze a hodnocení.
Takto pracuje malware Gooligan

Takto pracuje malware Gooligan

Bezpečností firma Check Point, která variantu malware Ghost Push pojmenovala Gooligan, uvedla, že ukradené ověřovací klíče jsou následně zneužívány pro vzdálenou instalaci aplikací z Obchodu Play jménem uživatele. Následně jsou pod jejich identitou publikována hodnocení a recenze.

Ukázka falešných recenzí a hodnocení

Ukázka falešných recenzí a hodnocení

Samozřejmě je nutné počítat s tím, že škodlivá aplikace, která dokáže získat ověřovací informace, je schopna přistupovat také k dalším sekcím účtu Google, jako jsou e-mailová schránka, fotografie a další. V tuto chvíli však nejsou informace o tom, že by Gooligan něco takového dělal. Podle všeho má tvůrcům vydělat peníze nelegitimními instalacemi aplikací a jejich kladným hodnocením. Aplikace s vyšším počtem stažení a lepší známkou působí v očích dalších uživatelů důvěryhodněji. Typicky jde o všelijaké “zázračné čističe” či “zrychlovače Wi-Fi připojení”.

Více než milion infikovaných zařízení

Škodlivý kód již zvládl infikovat více než milion zařízení po celém světě, přičemž denně přibývá třináct tisíc nových zařízení. 57 % z tohoto počtu je hlášeno z Asie, dalších 19 % z Ameriky, 15 % z Afriky a 9 % z Evropy. Společnost Check Point zřídila speciální stránku, kde si můžete zkontrolovat, zde je vás účet kompromitován. Google také uvedl, že upozorní každého, kdo může být tímto malwarem zasažen.

Statistiky škodlivé aplikace

Statistiky škodlivé aplikace

Google spolupracuje s Check Pointem na bezpečnostní záplatě pro Android. Ředitel společnosti Google pro bezpečnost Androidu Adrian Ludwig řekl: “Jako součást naší neustálé snahy chránit uživatele před rodinou malwaru Ghost Push jsme provedli řadu opatření k ochraně našich uživatelů a zlepšení bezpečnosti ekosystému Androidu jako celku.” Vyhledávací gigant již reagoval aktualizací technologie ověřování aplikací, která by nyní měla být schopná vypořádat se s aplikacemi, využívající dotčené zranitelnosti. To by mělo zabránit instalaci škodlivé aplikace na více než 92 % aktivních zařízení se systémem Android, a to i bez potřeby aktualizace firmwaru.

Nárůst malwaru Gooligan

Nárůst malwaru Gooligan

Funkce Ověřování aplikací je integrována do Služeb Google Play a ve výchozím stavu je povolena od Androidu 4.2 Jelly Bean výše. To na základě aktuálních čísel představuje 92,4 procenta aktivních zařízení. U starších verzí lze tuto funkci povolit ručně. Stejně jako zbytek Služeb Play je i tato část pravidelně aktualizována. Mimo jiné na pozadí blokuje instalaci škodlivých aplikací a může uživatelům doporučit odinstalaci malwaru.

Instalujete aplikace z jiných zdrojů než z Obchodu Play? Jak se v takovém případě chráníte před případnou infiltrací škodlivého kódu?

Zdroje: androidcentral.com, androidpolice.com, blog.checkpoint.com.

 

Komentáře

Radeg

radeg 10

1.12.2016 9:44

“2. Malware získá data o zařízení, na kterém běží, a stáhne balíček, který se postará o zisk práv roota.
3. Provede rootnutí systému, získá úplný přístup k systému a stáhne další moduly.”
Kolik lidí by si přálo tak jednoduchý postup rootnutí telefonu.
Nedalo by se tu část kódu extrahovat a vydat jen jako aplikaci pro rootnutí telefonu? Takový “one-click-root”. V tomhle případě zcela univerzální.

Jiří Kotal

1.12.2016 9:46

Občas si nainstaluji aplikaci z internetu, protože za ní nechci platit 💰. Ale Clean Master mi vždy zkontroluje apk než aplikaci nainstaluji.

Radeg

radeg 10

1.12.2016 9:48

.

lukodlak

z aplikace
1.12.2016 9:53

ja uz jedine aplikace kupuju

Martin P.

1.12.2016 9:56

to radeg 1.12.2016 9:44:… Kolikrát tenhle komentář ještě napíšete. Je to trolovina , hloupost nebo upozornujete, že kompatibilita toho malware samozřejmě není stoprocentní?

Kulichoid

kulichoid 58

z aplikace
1.12.2016 10:05

Jiří Kotal: Zrovna Clean Master je výsledkem zde zmiňovaného. Krom čištění mezipaměti dále jen vypíná aplikace na pozadí a ty se vzápětí samy zase zapnou. Ve výsledku spotřebuje víc šťávy než ušetří. Mnohokrát potvrzeno. 500 milionu stažení a známka 4,7 je jen výsledkem umělého navyšování bodů. :-)

Karelk

Karel Kiliánexternista 12

1.12.2016 10:10

To: radeg
Sice jste svůj komentář smazal, ale dovolím si podotknout, že o malwaru informovala společnost Check Point (odkaz na konci článku), a ta přímo na svém blogu používá označení Gooligan http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/ . Že to řada médií přepsala chybně, je pravda, my mezi ně však nepatříme.

Radeg

radeg 10

1.12.2016 11:13

To Karel Kilián:
Však jsem si to taky hned uvědomil a smazal. Smazal jen takto, jinak to nejde.

@Martin P.:
Který komentář? Tenhle je tu pouze jeden. Ten smazaný, rsp. prázdný, byl o úplně něčem jiném.

Kulichoid

kulichoid 58

z aplikace
1.12.2016 12:31

Já si myslím, že počet stažení aplikace je nicneříkající údaj, neboť mnozí aplikaci vyzkouší a pak třeba smažou nebo nepoužívají vůbec. Mnohem lepší by byl počet aktivně používaných aplikací třeba týden a déle.

SeppWinkler

SeppWinkler 6

1.12.2016 15:32

@radeg: Absolútne súhlasím s vašim prvým príspevkom. +1

RSS (komentáře k článku)