Egymillió Google-fiókhoz fért hozzá az Andorid-kártevő
Régi Android verziókat támadva egymilliót is meghaladó számú Google-fiók belépési adatait szerezte meg a Googligan malware. A Google biztonsági szakértőkkel közösen már elhárította a veszélyt, a támadássorozat ugyanakkor ismét rávilágít a platform biztonságának tragikus helyzetére.
Több mint egymillió Google-fiók belépési adatait szivárogtatta ki egy androidos kártevő. A Check Point biztonsági szakértői által Gooligan névre keresztelt malware annak ellenére tudott nagy mértékben elterjedni, hogy a mobil operációs rendszer korábbi verzióit veszi célba. Noha a kártevő az Android 4-5-ös főverzióira vadászik, azaz az Ice Cream Sandwich-től a Lollipopig bezárólag, azok a platform komoly fragmentációja miatt a teljes felhasználói bázisnak még mindig közel 74 százalékának eszközein dolgoznak. A rosszindulatú szoftver így továbbra is hatalmas tömegekre jelent potenciális fenyegetést, különösen figyelembe véve a platformra építő készülékgyártók gyér hajlandóságát a biztonsági frissítések kiadására.
A Gooligan harmadik féltől származó, nem megbízható alkalmazásboltokból vagy phising támadások során használt, megtévesztő hivatkozásokból támad. Biztonsági szakértők eddig a külső appboltokban összesen mintegy 86, a kártevővel fertőzött alkalmazást találtak, amelyek az érintett rendszerverziók valamelyikét futtató készülékre kerülve azon root jogosultságot szereznek, ezután pedig egy rootkitet töltenek le rá. A szoftver a Google Play vagy a Google Mobile Services felé felhasználói tevékenységet imitálva megszerzi, és a támadók vezérlőszervereire továbbítja az eszközön a Google-fiókokhoz használt azonosítási tokeneket.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Azzal, hogy a felhasználók viselkedését utánozza, a Gooligan az érintett eszközökön a lelepleződést is sikeresen el tudja kerülni. A kártevő az adatlopás mellett képes a Google Play katalógusából alkalmazásokat is telepíteni a fertőzött telefonra, illetve értékelni is azokat, így potenciálisan népszerűsítve a támadókhoz köthető appokat, sőt, adware-ekben is utazik, hogy bevételt generáljon készítőinek.
Az Android ökoszisztéma biztonságának gyászos helyzetét jól mutatja, hogy a kártékony szoftver jól ismert sebezhetőségeket használ ki, mint a már jó három éve ismert VROOT vagy a több mint két éves Towelroot. Ezeket a hibákat az új főverziókban és a biztonsági frissítésekben a Google már hosszú ideje befoltozta, miután azonban a gyártók hajlamosak a megjelenés pillanatától elengedni készülékeik kezét (főleg a belépő-középkategóriában), ezek a javítások az esetek többségében soha nem érkeznek meg az eszközökre - de sokszor az is előfordul, hogy a felhasználók hanyagolják el az egyébként elérhető frissítések telepítését.
A Google biztonsági szakértői az elmúlt hetekben szorosan együtt dolgoztak a Check Point kutatóival a helyzet orvoslásán. A keresőóriás szerint eddig nem találtak rá bizonyítékot, hogy a támadásokban érintett, több mint egymillió (köztük több száz üzleti) Google-fiókhoz illetéktelenek hozzáfértek volna, ahogy arra sem, hogy a támadások előre kiszemelt célpontokra irányultak. A Google továbbá az események hatására egy gyors takarítást is végzett, és egy sor, a hasonló akciókkal kapcsolatba hozható appot törölt a Play Store-ból. A cég emellett a Verify Apps funkciót is frissítette, amely ígérete szerint a jövőben a fenti kártevőket is megállítja, akár a saját alkalmazásboltján kívülről történő telepítések során is. A keresőóriás végül az ellopott beléptető tokeneket is visszavonta, illetve tájékoztatta az áldozatul esett felhasználókat a fiókjuk biztonságba helyezéséhez szükséges lépésekről.