Μια νέα ενεργή "καμπάνια" μόλυνσης με malware σε πάνω από 1 εκατομμύριο συσκευές με Android, εντοπίστηκε πρόσφατα. Η Check Point που την ανέλυσε της έδωσε την κωδική ονομασία Gooligan, πρωτοεμφανίστηκε τον Αύγουστο και μολύνει περίπου 13.000 συσκευές καθημερινά.
Το malware στοχεύει σε vulnerabilities των εκδόσεων 4 και 5 του Android και μεταδίδεται μέσω φαινομενικά ασφαλών εφαρμογών από τρίτα app stores -εκτός Google Play- με το μεγαλύτερο μέρος των θυμάτων να είναι στην Ασία.
Εκμεταλευόμενο 2 γνωστές ευπάθειες του Linux kernel, το κακόβουλο λογισμικό αποκτάει τον έλεγχο της συσκευής rootάροντας της , "παραβιάζει" το Google authorization token και παίρνει πλήρη πρόσβαση στον λογαριασμό Google του χρήστη (Gmail, Drive, Photos κα). Σύμφωνα με την Google το malware δεν "κατεβάζει " προσωπικά αρχεία ή emails και δεν χρησιμοποιεί το token για απάτες, αλλά κατεβάζει διάφορες εφαρμογές από το Play Store αφήνοντας 5 αστέρια στην αξιολόγηση τους, προωθώντας τες ψηλότερα στο σχετικό ranking.
Όποιος ανησυχεί ότι έχει πέσει θύμα του Gooligan μπορεί να επισκεφτεί την σελίδα https://gooligan.checkpoint.com/ . Σε περίπτωση μόλυνσης χρειάζεται επναφλασάρισμα της συσκευής και άμεση αλλαγή του Google account password.The infection begins when a user downloads and installs a Gooligan-infected app on a vulnerable Android device. Our research team has found infected apps on third-party app stores, but they could also be downloaded by Android users directly by tapping malicious links in phishing attack messages. After an infected app is installed, it sends data about the device to the campaign’s Command and Control (C&C) server.
Gooligan then downloads a rootkit from the C&C server that takes advantage of multiple Android 4 and 5 exploits including the well-known VROOT (CVE-2013-6282) and Towelroot (CVE-2014-3153). These exploits still plague many devices today because security patches that fix them may not be available for some versions of Android, or the patches were never installed by the user. If rooting is successful, the attacker has full control of the device and can execute privileged commands remotely.
After achieving root access, Gooligan downloads a new, malicious module from the C&C server and installs it on the infected device. This module injects code into running Google Play or GMS (Google Mobile Services) to mimic user behavior so Gooligan can avoid detection, a technique first seen with the mobile malware HummingBad.
The module allows Gooligan to:
Steal a user’s Google email account and authentication token information
Install apps from Google Play and rate them to raise their reputation
Install adware to generate revenue
Ad servers, which don’t know whether an app using its service is malicious or not, send Gooligan the names of the apps to download from Google Play. After an app is installed, the ad service pays the attacker. Then the malware leaves a positive review and a high rating on Google Play using content it receives from the C&C server.
Οι μολυσμένες εφαρμογές είναι :
- Perfect Cleaner
- Demo
- WiFi Enhancer
- Snake
- gla.pev.zvh
- Html5 Games
- Demm
- memory booster
- แข่งรถสุดโหด
- StopWatch
- Clear
- ballSmove_004
- Flashlight Free
- memory booste
- Touch Beauty
- Demoad
- Small Blue Point
- Battery Monitor
- 清理大师
- UC Mini
- Shadow Crush
- Sex Photo
- 小白点
- tub.ajy.ics
- Hip Good
- Memory Booster
- phone booster
- SettingService
- Wifi Master
- Fruit Slots
- System Booster
- Dircet Browser
- FUNNY DROPS
- Puzzle Bubble-Pet Paradise
- GPS
- Light Browser
- Clean Master
- YouTube Downloader
- KXService
- Best Wallpapers
- Smart Touch
- Light Advanced
- SmartFolder
- youtubeplayer
- Beautiful Alarm
- PronClub
- Detecting instrument
- Calculator
- GPS Speed
- Fast Cleaner
- Blue Point
- CakeSweety
- Pedometer
- Compass Lite
- Fingerprint unlock
- PornClub
- com.browser.provider
- Assistive Touch
- Sex Cademy
- OneKeyLock
- Wifi Speed Pro
- Minibooster
- com.so.itouch
- com.fabullacop.loudcallernameringtone
- Kiss Browser
- Weather
- Chrono Marker
- Slots Mania
- Multifunction Flashlight
- So Hot
- HotH5Games
- Swamm Browser
- Billiards
- TcashDemo
- Sexy hot wallpaper
- Wifi Accelerate
- Simple Calculator
- Daily Racing
- Talking Tom 3
- com.example.ddeo
- Test
- Hot Photo
- QPlay
- Virtual
- Music Cloud
Αναλυτικές πληροφορίες : Checkpoint blog
Εμφάνιση 1-15 από 17
-
30-11-16, 19:45 Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.767
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
30-11-16, 20:56 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #2
Τι σημαινει δυο γνωστες ευπαθειες; Γιατι δεν τις εχουν φτιαξει;
Πως ξερεις ποια εφαρμογη εκτος απο αυτες στη λιστα ειναι μολυσμενη;
Τι νοημα εχει να δινουν ονοματα εφαρμογων και οχι ονοματα πακετων που δεν αλλαζουν;
-
30-11-16, 21:30 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #3There's no substitute for experience
CorollaClub
-
30-11-16, 21:35 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #4
θα συμφωνήσω με τον φίλο turboirc κανονικά αυτό θα έπρεπε να δημοσιεύουν τα ονόματα μπορούν να τα αλλάξουν.
-
30-11-16, 23:45 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #5
Abandonware party.
-
01-12-16, 00:46 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #6
-
01-12-16, 01:45 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #7
Το android ειναι open source, αυτο που εχουν μεσα το 99% των τηλεφωνων της αγορας δεν ειναι μονο android.
Και μονο android να ειχαν ομως,η διαδικασια που περιγραφεις απαιτει γνωσεις που ουτε τις εχουν, ουτε ενδιαφερονται να τις μαθουν.
Το android δεν έπιασε χάρη στο Linux που έχει από πίσω (Ποιος δίνει δεκάρα) ούτε χάρη στο ότι είναι open source, αλλά χάρη στα λεφτά, στο standardization, στην ευκολία προγραμματισμου γραφικών και στο documentation, marketing κλπ που έγιναν από επαγγελματίες με λεφτά και όχι ερασιτέχνες. Όταν το android ήταν ερασιτεχνικό πριν το πάρει η google, δεν το ήξερε η μάνα του.Τελευταία επεξεργασία από το μέλος turboirc : 01-12-16 στις 01:56.
-
01-12-16, 05:08 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #8
-
01-12-16, 10:40 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #9
Δε είναι πρόβλημα ασφάλειας του android.
-
01-12-16, 13:27 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #10
- Εγγραφή
- 05-11-2004
- Ηλικία
- 33
- Μηνύματα
- 3.745
- Downloads
- 44
- Uploads
- 0
- Άρθρα
- 30
- Τύπος
- FTTH
- Ταχύτητα
- 200/200 Mbps
- ISP
- Inalan
- Router
- EdgeRouter™ X
-
01-12-16, 18:17 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #11
@turboirc, άδικα τα γράφεις, μου είναι όλα γνωστά εδώ και χρόνια.
Το android είναι Open source, αλλά οι συσκευές κλειδωμένες με κλειστούς drivers. Μερικές συσκευές είναι τόσο κλειδωμένες που ούτε re-partition δεν μπορείς να κάνεις. Άρα τί συσκευή* "open" παίρνεις όταν ακόμη και γνώσεις να έχεις ελάχιστα - ουσιαστικά - μπορείς να κάνεις;
Εγώ ας πούμε «ξέρω» (δεν το δοκίμασα ακόμη) να αναβαθμίσω τον kernel στο abandonware android μου, αλλά είναι τόσο πολύπλοκη διαδικασία που δεν μπαίνω σε κόπο να το κάνω. Τί open είναι αυτό; Μόνο για τα μάτια του κόσμου. Αντίθετα στο linux αναβαθμίζω τον kernel σαν μία τυπική και εύκοληη διαδικασία.
Άρα τί το πρήξιμο πως το android είναι Open Source; Εκεί πάει το σχόλιο.
Τώρα θα αναβαθμίσουν το 75% των χρηστών android, ή θα είναι εκτεθειμένοι στην «ελευθερία» του Open Souce μέσω των warez stores; Αυτή είναι η ουσία.
«Η ασφάλεια είναι διαδικασία.» Μία φορά το άκουσα, από τότε μου έμεινε.
* Ω ναι, άλλο συσκευή, άλλο android, άλλο gapps, άλλο drivers, άλλο linux, αλλά στην πράξη μία συσκευή παίρνεις στα χέρια σου. Τελικά Open είναι, ή abandonware του κερατά που κάνει μόνο για media player / παιχνίδια;
- - - Updated - - -
dirtyc0w κατέχεις;
2.000€ κάνουν τα iphone ΑΧΑΧΑΧΑΧΑ!
Μπορείς να πετάξεις από 3 φορές 300€ στα σκουπίδια, ή από 6 φορές 150€* Το ίδιο είναι. Θα προτιμούσα αυτό στα 450€.
http://www.skroutz.gr/s/8669043/Appl...e-SE-64GB.html
Είδα σε public και moto x (2014) στα 230€, θες να δούμε πόσο μακρυά θα πάει το καθένα σε 2-3 χρόνια;
* ξέρω αρκετούς που πέταξαν 150άρια σε Κινεζιές. 150€ πεταμένα χρήματα, στην κυριολεξία. Τουλάχιστον σε iPhone έχεις μία συσκευή για 5 χρόνια, όχι για 6 μήνες.
- - - Updated - - -
Η υπερβολική σιγουριά από πού πηγάζει;
Το γράφει, του Linux είναι το πρόβλημα που έχει patch-αριστεί, αλλά στο abandonware android μην περιμένεις αναβάθμιση του kernel. Είναι «δύσκολα» πράγματα αυτά για open source.
"The (1) get_user and (2) put_user API functions in the Linux kernel *before* 3.5.5 on the v6k and v7 ARM platforms do not validate certain addresses, which allows attackers to read or modify the contents of arbitrary kernel memory locations via a crafted application, as exploited in the wild against Android devices in October and November 2013."
https://web.nvd.nist.gov/view/vuln/d...=CVE-2013-6282
"The futex_requeue function in kernel/futex.c in the Linux kernel through 3.14.5 does not ensure that calls have two different futex addresses, which allows local users to gain privileges via a crafted FUTEX_REQUEUE command that facilitates unsafe waiter modification."
https://web.nvd.nist.gov/view/vuln/d...=CVE-2014-3153
- - - Updated - - -
Συμφωνώ, μία απλούστατη αναβάθμιση του kernel πως και ξέφυγε από ικανότατους ανθρώπους; (φιλοσοφικό ερώτημα)
-
01-12-16, 19:01 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #12
-
01-12-16, 19:47 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #13
Δεν τα εγραψα ως απαντηση σε σενα γιατι γενικως δεν προσπαθω να πεισω κοσμο με την δικη σου νοοτροπια που συνηθως ειναι αγυριστη. Οι λινουξαδες ειναι ορκισμενοι εχθροι ολων των αλλων (και της πραγματικοτητας).
Το εγραψα για να ξερει καποιος τριτος που θα διαβασει αυτα που λες οτι η εννοια "open" δεν συμβαδιζει με τις αλλες εννοιες. Στο android ελαχιστο ρολο επαιξε το οτι ειναι open (ο χρηστης σκασιλα του) και μηδενικο ρολο το οτι εχει linux (και DOS να ειχε το ιδιο θα ηταν για την πλειοψηφια).
-
01-12-16, 19:58 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #14
Δεν πολυκατάλαβα τους τίτλους των εφαρμογών. πχ τι τίτλος είναι Google?
ή GPS έτσι σκέτο?
Και αυτό το YouTube Downloader μήπως είναι το Snaptube YouTube Downloader ?
-
01-12-16, 20:00 Απάντηση: Πάνω από 1 εκατομμύριο λογαριασμοί Google έχουν παραβιαστεί από το Android malware Gooligan #15
Παρόμοια Θέματα
-
Google προς ΕΕ: Το Android δεν μπορεί να χαρακτηριστεί μονοπώλιο από την στιγμή που υπάρχει το iPhone
Από sdikr στο φόρουμ ΕιδήσειςΜηνύματα: 72Τελευταίο Μήνυμα: 24-11-16, 09:58 -
Το Android malware DressCode εντοπίστηκε σε 40 εφαρμογές του Google Play Store
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 14Τελευταίο Μήνυμα: 20-09-16, 00:09 -
Πάνω από 1 δις οι μηνιαίοι ενεργοί χρήστες του Chrome για Android και iOS
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 11Τελευταίο Μήνυμα: 03-05-16, 22:05 -
Android malware έχει προσβάλει μέσω SMS πάνω από 100 χιλιάδες κινητά στην Δανία
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 18Τελευταίο Μήνυμα: 24-02-16, 12:24 -
Στα 31 δις δολλάρια, τα έσοδα της Google από το Android
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 10Τελευταίο Μήνυμα: 28-01-16, 01:40
Bookmarks