セキュリティ会社Check Pointは、悪意のあるアプリを使用してAndroidデバイスをルート化し、Google認証トークンを盗み、他のアプリのインストール番号とレビュースコアを不正に収集する新しいマルウェアキャンペーンを明らかにしました。
Check Pointによって「Gooligan」と呼ばれるこのマルウェアは、既知の脆弱性を使用して、Android 4.xおよび5.xを実行しているデバイスのルートアクセスを取得し、完全に制御します。 これにより、加害者は、被害者のデバイスにGoogle Playから他のアプリをリモートでインストールし、自分の名前で偽のレビューを投稿することができました。
理論的には、認証の詳細を盗むように設計されたこのようなマルウェアは、GmailやPhotosなどのGoogleアカウントの他の領域にアクセスできた可能性があります。 「Gooligan」がこのようなことを行ったことを示す証拠はありません。代わりに、不正なアプリのインストールによって作成者のためにお金を稼ぐために作られたようです。
Check Pointによると、このマルウェアの種類で目立っているのは、影響を受けたアカウントの数です。キャンペーンが始まってから100万を超えています。 同社によると、これらのアカウントの大半(57%)がアジアで侵害されました。 次にアメリカが19%、アフリカが15%、ヨーロッパが9%でした。 Check Pointは、アカウントが影響を受けているかどうかを確認できるサイトをセットアップしました。 グーグルはまた、打撃を受けたかもしれない人に手を差し伸べていると言っている。
本日の発表に先立ち、GoogleとCheck PointはAndroidのセキュリティを改善するために協力しています。
GoogleのAndroidセキュリティディレクターであるAdrian Ludwigは、次のように述べています。「Ghost Pushファミリーからユーザーを保護するための継続的な取り組みの一環として、Check Pointの研究とパートナーシップの両方に感謝しています。マルウェアの場合、ユーザーを保護し、Androidエコシステム全体のセキュリティを向上させるために、多くの措置を講じました。」
また、チェックポイントは、このような脆弱性を使用するアプリに対処するために、Googleの「アプリの検証」テクノロジーが更新されたことにも注目しています。 既に侵害されているデバイスには役立たないが、ファームウェアの更新がなくても、アクティブなAndroidデバイスの92%での将来のインストールを妨げるため、これは重要です。
他のアプリベースのエクスプロイトと同様に、Googleの「アプリの検証」機能は、アクティブなデバイスの92%を「Gooligan」から保護するようになりました。
「アプリの検証」はGoogle Play開発者サービスに組み込まれており、Android 4.2 Jelly Beanではデフォルトで有効になっています。現在の数に基づいて、アクティブなデバイスの92.4%を占めています。 (古いバージョンでは、手動で有効にできます。)他のPlay Servicesと同様に、バックグラウンドで定期的に更新され、悪意のあるアプリのインストールをブロックし、既に存在するマルウェアをアンインストールするようユーザーにアドバイスできます。
Androidの新しいバージョンでは、「Gooligan」がルートデバイスに使用する根本的な脆弱性は、セキュリティパッチで対処されています。 百万件の侵害されたアカウントが聞こえるほど重要であるため、これはアプリベースのマルウェアが設計どおりに動作し、大多数のエコシステム全体で影響を受けるアプリのインストールをブロックするGoogleのセキュリティ戦略の例でもあります。
アカウントが影響を受けている可能性がある場合は、Check Pointのサイトにアクセスできます。 将来、Googleの既存の保護手段(過去4年間のPlay Servicesの一部)により、保護されます。
更新: GoogleのAndroidセキュリティリードエンジニアであるAdrian Ludwigは、本日の「Googlian」発表の背景と、GoogleがGoogle+で行っていることについて詳細に説明しています。
