Malware Gooligan generuje falešná stažení a hodnocení v Obchodě Play
- Zprávičky
- Karel Kilián
- 1.12.2016
- 10
Možná jste někdy slyšeli o aplikacích v Obchodě Play, jejichž hodnocení a počty stažení neodpovídají skutečnosti. Pokud jste přemýšleli nad tím, jak je to možné, pak odpověď můžete najít v tomto článku. Malware Gooligan totiž využívá bezpečnostních děr ve starších verzích Androidu, konkrétně 4.2/4.3 Jelly Bean, 4.4 KitKat a 5.0 Lollipop. Mezi činnosti, které provádí, patří mimo jiné odesílání falešných hodnocení a recenzí a generování stažení aplikací z Obchodu Play.
Co malware Gooligan umí a dělá?
Tím ale funkce této škodlivé aplikace ani zdaleka nekončí. Z dalších schopností jmenujme třeba krádež autentizačních tokenů Google, jež lze použít pro kompromitaci účtu. Stranou bychom neměli nechat ani schopnost rootnout hostitelské zařízení, a tím nad ním získat prakticky absolutní kontrolu. V principu funguje následovně:
- Uživatel si nainstaluje škodlivou aplikaci z alternativního zdroje mimo Obchod Play.
- Malware získá data o zařízení, na kterém běží, a stáhne balíček, který se postará o zisk práv roota.
- Provede rootnutí systému, získá úplný přístup k systému a stáhne další moduly.
- Ukradne autentizační tokeny Google a odešle je. Díky nim se útočník může dostat k Fotkám Google, do Obchodu Play, na Disk Google, do Gmailu a k dalším službám.
- Stahuje z Obchodu aplikace, instaluje je a posílá falešné recenze a hodnocení.
Bezpečností firma Check Point, která variantu malware Ghost Push pojmenovala Gooligan, uvedla, že ukradené ověřovací klíče jsou následně zneužívány pro vzdálenou instalaci aplikací z Obchodu Play jménem uživatele. Následně jsou pod jejich identitou publikována hodnocení a recenze.
Samozřejmě je nutné počítat s tím, že škodlivá aplikace, která dokáže získat ověřovací informace, je schopna přistupovat také k dalším sekcím účtu Google, jako jsou e-mailová schránka, fotografie a další. V tuto chvíli však nejsou informace o tom, že by Gooligan něco takového dělal. Podle všeho má tvůrcům vydělat peníze nelegitimními instalacemi aplikací a jejich kladným hodnocením. Aplikace s vyšším počtem stažení a lepší známkou působí v očích dalších uživatelů důvěryhodněji. Typicky jde o všelijaké „zázračné čističe“ či „zrychlovače Wi-Fi připojení“.
Více než milion infikovaných zařízení
Škodlivý kód již zvládl infikovat více než milion zařízení po celém světě, přičemž denně přibývá třináct tisíc nových zařízení. 57 % z tohoto počtu je hlášeno z Asie, dalších 19 % z Ameriky, 15 % z Afriky a 9 % z Evropy. Společnost Check Point zřídila speciální stránku, kde si můžete zkontrolovat, zde je vás účet kompromitován. Google také uvedl, že upozorní každého, kdo může být tímto malwarem zasažen.
Google spolupracuje s Check Pointem na bezpečnostní záplatě pro Android. Ředitel společnosti Google pro bezpečnost Androidu Adrian Ludwig řekl: „Jako součást naší neustálé snahy chránit uživatele před rodinou malwaru Ghost Push jsme provedli řadu opatření k ochraně našich uživatelů a zlepšení bezpečnosti ekosystému Androidu jako celku.“ Vyhledávací gigant již reagoval aktualizací technologie ověřování aplikací, která by nyní měla být schopná vypořádat se s aplikacemi, využívající dotčené zranitelnosti. To by mělo zabránit instalaci škodlivé aplikace na více než 92 % aktivních zařízení se systémem Android, a to i bez potřeby aktualizace firmwaru.
Funkce Ověřování aplikací je integrována do Služeb Google Play a ve výchozím stavu je povolena od Androidu 4.2 Jelly Bean výše. To na základě aktuálních čísel představuje 92,4 procenta aktivních zařízení. U starších verzí lze tuto funkci povolit ručně. Stejně jako zbytek Služeb Play je i tato část pravidelně aktualizována. Mimo jiné na pozadí blokuje instalaci škodlivých aplikací a může uživatelům doporučit odinstalaci malwaru.
Instalujete aplikace z jiných zdrojů než z Obchodu Play? Jak se v takovém případě chráníte před případnou infiltrací škodlivého kódu?
Zdroje: androidcentral.com, androidpolice.com, blog.checkpoint.com.
Karel Kilián je zkušený technický redaktor a copywriter s bohatou praxí v oblasti informačních a komunikačních technologií. Jeho kariéra začala na pozici prodavače, odkud postupně… více o autorovi
Komentáře (10)
Přidat komentář