Malware Gooligan generuje falešná stažení a hodnocení v Obchodě Play

malware-gooligan_ico

Možná jste někdy slyšeli o aplikacích v Obchodě Play, jejichž hodnocení a počty stažení neodpovídají skutečnosti. Pokud jste přemýšleli nad tím, jak je to možné, pak odpověď můžete najít v tomto článku. Malware Gooligan totiž využívá bezpečnostních děr ve starších verzích Androidu, konkrétně 4.2/4.3 Jelly Bean, 4.4 KitKat a 5.0 Lollipop. Mezi činnosti, které provádí, patří mimo jiné odesílání falešných hodnocení a recenzí a generování stažení aplikací z Obchodu Play.

Co malware Gooligan umí a dělá?

Tím ale funkce této škodlivé aplikace ani zdaleka nekončí. Z dalších schopností jmenujme třeba krádež autentizačních tokenů Google, jež lze použít pro kompromitaci účtu. Stranou bychom neměli nechat ani schopnost rootnout hostitelské zařízení, a tím nad ním získat prakticky absolutní kontrolu. V principu funguje následovně:

  1. Uživatel si nainstaluje škodlivou aplikaci z alternativního zdroje mimo Obchod Play.
  2. Malware získá data o zařízení, na kterém běží, a stáhne balíček, který se postará o zisk práv roota.
  3. Provede rootnutí systému, získá úplný přístup k systému a stáhne další moduly.
  4. Ukradne autentizační tokeny Google a odešle je. Díky nim se útočník může dostat k Fotkám Google, do Obchodu Play, na Disk Google, do Gmailu a k dalším službám.
  5. Stahuje z Obchodu aplikace, instaluje je a posílá falešné recenze a hodnocení.
Takto pracuje malware Gooligan Takto pracuje malware Gooligan

Bezpečností firma Check Point, která variantu malware Ghost Push pojmenovala Gooligan, uvedla, že ukradené ověřovací klíče jsou následně zneužívány pro vzdálenou instalaci aplikací z Obchodu Play jménem uživatele. Následně jsou pod jejich identitou publikována hodnocení a recenze.

Ukázka falešných recenzí a hodnocení Ukázka falešných recenzí a hodnocení

Samozřejmě je nutné počítat s tím, že škodlivá aplikace, která dokáže získat ověřovací informace, je schopna přistupovat také k dalším sekcím účtu Google, jako jsou e-mailová schránka, fotografie a další. V tuto chvíli však nejsou informace o tom, že by Gooligan něco takového dělal. Podle všeho má tvůrcům vydělat peníze nelegitimními instalacemi aplikací a jejich kladným hodnocením. Aplikace s vyšším počtem stažení a lepší známkou působí v očích dalších uživatelů důvěryhodněji. Typicky jde o všelijaké “zázračné čističe” či “zrychlovače Wi-Fi připojení”.

Více než milion infikovaných zařízení

Škodlivý kód již zvládl infikovat více než milion zařízení po celém světě, přičemž denně přibývá třináct tisíc nových zařízení. 57 % z tohoto počtu je hlášeno z Asie, dalších 19 % z Ameriky, 15 % z Afriky a 9 % z Evropy. Společnost Check Point zřídila speciální stránku, kde si můžete zkontrolovat, zde je vás účet kompromitován. Google také uvedl, že upozorní každého, kdo může být tímto malwarem zasažen.

Statistiky škodlivé aplikace Statistiky škodlivé aplikace

Google spolupracuje s Check Pointem na bezpečnostní záplatě pro Android. Ředitel společnosti Google pro bezpečnost Androidu Adrian Ludwig řekl: “Jako součást naší neustálé snahy chránit uživatele před rodinou malwaru Ghost Push jsme provedli řadu opatření k ochraně našich uživatelů a zlepšení bezpečnosti ekosystému Androidu jako celku.” Vyhledávací gigant již reagoval aktualizací technologie ověřování aplikací, která by nyní měla být schopná vypořádat se s aplikacemi, využívající dotčené zranitelnosti. To by mělo zabránit instalaci škodlivé aplikace na více než 92 % aktivních zařízení se systémem Android, a to i bez potřeby aktualizace firmwaru.

Funkce Ověřování aplikací je integrována do Služeb Google Play a ve výchozím stavu je povolena od Androidu 4.2 Jelly Bean výše. To na základě aktuálních čísel představuje 92,4 procenta aktivních zařízení. U starších verzí lze tuto funkci povolit ručně. Stejně jako zbytek Služeb Play je i tato část pravidelně aktualizována. Mimo jiné na pozadí blokuje instalaci škodlivých aplikací a může uživatelům doporučit odinstalaci malwaru.

Instalujete aplikace z jiných zdrojů než z Obchodu Play? Jak se v takovém případě chráníte před případnou infiltrací škodlivého kódu?

Zdroje: androidcentral.com, androidpolice.com, blog.checkpoint.com.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (10)