惡意程式Gooligan藉冒牌程式蔓延，入侵逾100萬個Google帳號

jis2577

Gooligan藉由感染第三方軟體市集的冒牌程式，或是經由網釣郵件誘使受害者安裝，再連接C&C伺服器下載rootkit，從兩項已被修補的漏洞入侵，進一步取得裝置控制權，竊取用戶Google 帳號及認證憑證，以存取用戶各種Google雲端服務資料。此外，只要感染的裝置愈多，可藉下載App，操弄Google Play程式排名。

安全設備廠商Check Point警告，一隻名為Gooligan的惡意程式透過冒牌程式蔓延開來，並可能入侵超過上百萬Google帳號。

安全研究人員表示，Gooligan是由該公司研究人員去年於SnapPea app中首度發現的Android惡意程式的最新變種。它藉由感染第三方軟體市集中的數十款冒牌程式下載到用戶手機，或經由網釣郵件誘使用戶安裝。Checkpoint目前發現有86款冒牌App遭感染Gooligan，用戶可在CheckPoint網頁下方列表了解自己是否中標。
攻擊手法（來源：Check Point）




安裝完成後，Gooligan即開始向外部C&C（command and control）伺服器通訊，並自C&C伺服器下載rootkit。這個rootkit再運用知名Root工具試圖入侵Linux（及Android）中 CVE-2013-6282、CVE-2014-3153兩項漏洞，一旦成功，即可取得裝置控制權，再自C&C伺服器下載安裝惡意模組於感染手機。這兩項漏洞已經有修補程式釋出，但由於Android版本過於分散或是用戶未下載更新，因而仍有用戶暴露於風險中。

研究人員指出，這些惡意模組最終可讓Gooligan竊取用戶Google 帳號及認證憑證資訊，估計有超過百萬包括Gmail、Google Photos、Google Docs、Google Drive及G Suite等帳號不需密碼也可被存取，而且每天以1.3萬部裝置速度增加中。此外它還能從Google Play下載app，只要散佈數量夠多，就能操弄這些app的排名。或是在手機內安裝廣告程式騙取廣告營收。

受影響裝置主要為Android 4（Jelly Bean、KitKat）及5（Lollipop）裝置，佔了現行使用裝置的74%。而以受害裝置所在地區來看，亞洲佔了57%，約19%位於美洲，非洲與歐洲各為15%及9%。

CheckPoint已經向Google通報該惡意程式。所幸Google Android安全小組總監Adrian Ludwig指出，經過過去數星期的調查，沒有發現被入侵帳號資料遭到存取，或是個人被鎖定的證據。此外Google還提供Verifiy App服務可以瞄用戶手機，一旦發現Gooligan即會通知用戶。安全公司並呼籲用戶不要輕信排名來下載app。

panups