[マルウェア] Gooligan
100万台以上のAndroid端末に感染したマルウェア、入ってた!
書庫PC・モバイルテクニック
カテゴリスマートフォン
2016/12/2(金) 午後 1:26
facebookでシェアtwitterでつぶやく
Check Pointが2016年11月30日現在で発表している問題のあるアプリ一覧は以下のとおりとなっています。
ということで、一覧があるけど見にくいのでExcelにコピー&ペースト、そして昇順で並べ替えました。下記の通りです。それをメールで自分に送り、タブレットで一覧を眺め乍ら、スマホの設定からアプリを開き、照合していくと、あった !!
Clean Master これは数ヶ月前だったか、スマホが重くなっていますとかのメッセージで、自分は不審に思わずインストールした記憶がある。直ぐにアンインストールしたが・・・ Root権限を取られたかどうか。ちょっと本気で対応を考えないと・・・
100万台以上のAndroid端末に感染したマルウェア「Gooligan」の被害が拡大中、対象アプリ一覧はコレ
http://gigazine.net/news/20161201-gooligan/
2016年12月01日 12時00分00秒
By CyberHades
Android端末に感染して端末のRoot権限を不正に取得するマルウェア「Gooligan」が仕込まれたアプリが出回り、100万件以上のGoogleアカウントが被害にあっていることがセキュリティ企業「Check Point Software Technologies」の調査により明らかにされています。このマルウェアは端末に感染した後にRoot権限を取得し、認証トークンを盗み出すことでGoogleアカウントに不正アクセスして「Google Play」「Gmail」「Googleフォト」などからデータを盗み出すことを可能にするもので、発覚後も1日に1万3000台のペースで被害にあう端末が増え続けているとのことです。
More Than 1 Million Google Accounts Breached by Gooligan | Check Point Blog
http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/
Check Pointによると、Gooliganの仕組みは以下の図のとおり。攻撃者はAndroidアプリにGooliganのコードを仕込み、Google PlayではないサードパーティーのAndroidアプリストアやウェブサイトでアプリを提供します。このアプリをユーザーがダウンロードしてインストールしてしまうと、Gooliganは攻撃者が用意した「Command & Controlサーバー」に端末の情報を送信し、Root権限を取得するツールキットをインストールします。そしてRoot取得後にさらにマルウェアをサーバーからダウンロードして端末に仕込み、Gmailアカウントの認証トークンを盗み出して、「Google Play」「Gmail」「Googleフォト」「Googleドキュメント」「G Suite」「Googleドライブ」といったGoogleのサービスに保存されているデータを抜き出すことが可能になっていまいます。
さらに、マルウェアはGoogle Playから不正にアプリをダウンロードして特定のアプリに高評価をつけたり、広告アプリをインストールして広告収入を攻撃者にもたらすといった悪用が可能になるとのこと。調査によると実際にユーザーのデータが抜き取られたケースはほとんどなく、マルウェアそのものを拡散させることが当面の目的と考えられています。
Gooliganが感染したデバイスはAndroid 4 (Jelly Bean, KitKat)およびAndroid 5 (Lollipop)を搭載したもので、現在出回っているAndroid端末の74%がこれに該当するとのこと。また、今回の不正アクセスで被害を受けた100万件のアカウントのうち、57%以上はアジア圏のユーザーのアカウントだったこともわかっています。
Check Pointはすでにこの件についてGoogleに通知済みで、Googleでは被害を受けたアカウントへの通知や盗まれたトークンの無効化などの対策を勧めているとのこと。また、本来は有料のものが無料で手に入るサードパーティーのアプリストアでは、この手の悪意のあるアプリに感染する確率が高くなるので、安易に利用しないように注意を促しています。
Check Pointが2016年11月30日現在で発表している問題のあるアプリ一覧は以下のとおりとなっています。
昇順で並べ替えています。
・Assistive Touch
・ballSmove_004
・Battery Monitor
・Beautiful Alarm
・Best Wallpapers
・Billiards
・Blue Point
・CakeSweety
・Calculator
・Chrono Marker
・Clean Master
・Clear
・com.browser.provider
・com.example.ddeo
・com.fabullacop.loudcallernameringtone
・com.so.itouch
・Compass Lite
・Daily Racing
・Demm
・Demo
・Demoad
・Detecting instrument
・Dircet Browser
・Fast Cleaner
・Fingerprint unlock
・Flashlight Free
・Fruit Slots
・FUNNY DROPS
・gla.pev.zvh
・Google
・GPS
・GPS Speed
・Hip Good
・Hot Photo
・HotH5Games
・Html5 Games
・Kiss Browser
・KXService
・Light Advanced
・Light Browser
・memory booste
・memory booster
・Memory Booster
・Minibooster
・Multifunction Flashlight
・Music Cloud
・OneKeyLock
・Pedometer
・Perfect Cleaner
・phone booster
・PornClub
・PronClub
・Puzzle Bubble-Pet Paradise
・QPlay
・SettingService
・Sex Cademy
・Sex Photo
・Sexy hot wallpaper
・Shadow Crush
・Simple Calculator
・Slots Mania
・Small Blue Point
・Smart Touch
・SmartFolder
・Snake
・So Hot
・StopWatch
・Swamm Browser
・System Booster
・Talking Tom 3
・TcashDemo
・Test
・Touch Beauty
・tub.ajy.ics
・UC Mini
・Virtual
・Weather
・Wifi Accelerate
・WiFi Enhancer
・Wifi Master
・Wifi Speed Pro
・YouTube Downloader
・youtubeplayer
・แข่งรถสุดโหด
・小白点
・清理大师
新たなAndroidマルウェア「Gooligan」、Googleアカウント100万件超が被害
http://news.mynavi.jp/news/2016/12/01/461/
岩井 健太
[2016/12/01]
チェック・ポイント・ソフトウェア・テクノロジーズは12月1日、新たなAndroidマルウェアにより、100万件以上のGoogleアカウントがセキュリティ侵害を受けていることが判明したと発表した。
「Gooligan」と名付けられたマルウェア・キャンペーンは、Android搭載デバイスがroot化され、デバイスに保存されている電子メールアドレスと認証トークンが窃取され、攻撃者がこれらの情報を入手した場合、各種Googleサービス(Gmail、Googleフォト、Googleドキュメント、Google Play、Googleドライブ、G Suite)の重要情報に不正アクセスされる恐れがあるとしている。
攻撃の概要として、1日あたり1万3000台のデバイスが感染しており、100万台以上のデバイスがroot化された事例は今回の攻撃キャンペーンが初めてとなり、窃取された電子メールアドレスのうち、数百件は世界各国の企業で使われているアドレスだという。
Gooliganが標的としているのは、Android 4(Jelly Bean、KitKat)およびAndroid 5(Lollipop)で、両バージョンのシェアは現在、使用されているAndroid搭載デバイス全体の74%近くを占める。
デバイスを侵害した攻撃者は、Google Playのアプリを不正にインストールし、デバイス所有者を装いアプリを評価することで収益を得ており、1日当たり3万以上のアプリが不正にインストールされ、キャンペーン開始以降のインストール数は200万を超えている。
チェック・ポイントは、Gooliganを発見後、直ちにGoogleのセキュリティチームに情報提供し、Googleアカウントが侵害されているかどうかをチェックするオンライン・ツールを無償で提供している。
GoogleのAndroidセキュリティ担当責任者であるエイドリアン・ラドウィッグ(Adrian Ludwig)氏は「Googleでは、Ghost Pushマルウェア・ファミリーからユーザを保護する継続的な取り組みの一環として、Androidエコシステム全体のセキュリティを強化するさまざまな対策を実施しています」と述べている。
また、Googleは被害を受けたユーザへの通知、トークンの無効化、Ghost Pushファミリーに関連するアプリのGoogle Playからの排除、Androidのセキュリティ機構「Verify Apps」への機能追加などの措置を講じている。なお、Googleアカウントの侵害の有無を確認するGooliganチェッカーはこちら。
チェック・ポイントのモバイル・リサーチ・チームでは、2015年に不正なSnapPeaアプリを調査していたときにGooliganのコードを最初に発見。その後2016年8月に同マルウェアの新たな亜種が出現し、それ以降は1日あたり1万3000台以上のデバイスが感染被害を受けている状況だという
感染デバイスの約57%はアジア諸国、約9%はヨーロッパ諸国で使用されており、窃取された電子メール・アドレスのうち数百件は、世界各国の企業で使われているアドレスだという。脆弱性のあるAndroid搭載デバイスにGooligan感染アプリをダウンロードしてインストールするか、フィッシングを目的とするテキスト・メッセージの不正なリンクをクリックすると、感染プロセスが開始するとしている。
チェック・ポイントのモバイル製品担当責任者であるマイケル・シャウロフ氏は感染したデバイスの対応について「アカウントが侵害されていた場合は、Android搭載デバイスのオペレーティング・システムをクリーン・インストールする必要があります。デバイスの電源をオフにし、クリーン・インストールに不明点がある場合は、デバイスのメーカーまたはモバイル通信事業者へ確認することをお勧めします」と述べている。
Androidマルウェア「Gooligan」横行、100万超のGoogleアカウントに不正アクセス
http://www.itmedia.co.jp/enterprise/articles/1612/01/news066.html
[鈴木聖子,ITmedia]
セキュリティ企業のCheck Point Software Technologiesは11月30日、Androidマルウェア「Gooligan」を仕込んだアプリがサードパーティーのアプリストアなどを通じて出回り、100万以上のGoogleアカウントが不正アクセスの被害に遭っていることが分かったと伝えた。被害に遭ったデバイスは1日に1万3000台のペースで増え続けているという。
Check Pointのブログによると、Gooliganには感染した端末のroot権限を取得して、認証トークンを盗み出す機能があることが判明。攻撃者にこのトークンを使われれば、Google PlayやGmail、Google Photos、Google Docs、G Suite、Google Driveなどの主要Googleアカウントに不正アクセスされる恐れがある。
今回不正アクセスの被害に遭った100万件のアカウントのうち、57%以上はアジアのユーザーのアカウントだった。GoogleではCheck Pointからの情報提供を受け、被害に遭ったアカウントへの通知や盗まれたトークンの無効化などの対策を勧めているという。
GooliganはAndroid 4(Jelly Bean、KitKat)と5(Lollipop)に感染する恐れがあるといい、両バージョンを合わせると現在使われているAndroidの74%を占める。
Check Pointの調査では、サードパーティーのAndroidアプリストアで正規のアプリに見せかけて提供されている数十本のアプリにGooliganのコードが仕込まれているのが見つかった。サードパーティーストアは正規のGoogle Playで販売されている有料アプリの無料版を入手できる場として魅力的に思えるかもしれないが、そうしたアプリのセキュリティは保証できないとCheck Pointは警告する。
また、攻撃者がフィッシング詐欺などの手口を使ってユーザーに不正なリンクをクリックさせ、感染アプリをインストールさせる可能性も指摘している。
Gooliganに感染すると、端末に関する情報が攻撃者の制御サーバに送信され、Android 4と5の複数の脆弱性を突いてrootkitがダウンロードされる。これら脆弱性の修正パッチはAndroidのバージョンによっては提供されていないことがあるほか、ユーザーがインストールしていない場合もある。
Android端末のroot権限を取得されれば、リモートの攻撃者が管理者権限でコマンドを実行できる状態になる。この状態でユーザーのGoogleメールアカウントや認証トークンの情報取得、Google Playからのアプリのインストールとレビュー評価の水増し、アドウェアのインストールといった攻撃が行われているという。
Android端末よりGoogleアカウント奪う「Gooligan」 - 100万件以上のアカウントで被害か
http://www.security-next.com/076262
Android端末へ不正アプリ「Gooligan」を感染させる大規模な攻撃キャンペーンが展開されていることがわかった。感染を通じて端末利用者のGoogleアカウントが奪取されているという。
攻撃キャンペーンについて報告した米Check Point Software Technologiesによれば、今回同社が確認した「Gooligan」は、2015年に1日あたり60万件におよぶ大量感染などが報告された「Ghost Push」の亜種。
「Gooligan」のコードを含むアプリが最初に確認されたのは2015年だが、亜種が確認された2016年8月以降に感染が拡大したという。
脆弱性が存在する「Jelly Bean」「KitKat」「Lollipop」を搭載したAndroid端末を標的としており、悪意あるテキストメッセージの不正なリンクなどを通じて、端末利用者がアプリをインストールしまうことにより感染が広がっている。
同社の観測では、1日あたり1万3000台以上が感染しており、100万件以上のGoogleアカウントが侵害を受けたと分析。感染端末の約57%はアジアに集中していた。
「Gooligan」は、感染後に端末のroot権限を奪い、端末内のメールアドレスや認証トークンを取得。Googleアカウントを侵害し、端末所有者になりすましてGoogle Playよりアプリをインストール、アプリを評価することにより、収益を上げていた。
被害に遭っているか確認できる「Gooligan Checker」
不正にインストールされるアプリは、1日あたり3万件以上にのぼり、すでに200万件がインストールされたとCheck Pointでは見ている。
今回の問題について報告を受けたGoogleでは、「Gooligan」を含む「Ghost Pushファミリー」の関連アプリについて、Google Playから排除を進めているほか、被害を受けたユーザーに対して通知やトークンの無効化などを実施した。
またチェック・ポイントでは、Googleアカウントが侵害されているかチェックできる「Gooligan Checker」をインターネットで公開。感染していた場合は、OSのクリーンインストールが必要になるという。
Android狙うマルウェア「Gooligan」、100万超のGoogleアカウントに被害
http://japan.cnet.com/news/service/35093009/
Joan E. Solsman Richard Nieva (CNET News) 翻訳校正: 編集部 2016/12/01 08:27
100万件を超えるGoogleアカウントが、悪質なソフトウェアによる攻撃を受けているという。セキュリティ企業Check Pointが米国時間11月30日に明らかにした。
Check Pointはブログ記事で、この「Gooligan」という攻撃の影響を受ける端末は1日に1万3000台のペースで増加していると述べた。この攻撃で使われるマルウェアは、端末に感染し、その認証トークンを盗んで「Google Play」「Gmail」「Googleフォト」「Googleドキュメント」「G Suite」「Googleドライブ」などのプログラムからデータを盗むという。
Forbesによると、このマルウェア攻撃は、Googleアカウントを対象としたものでは過去最大規模だという。しかし、その攻撃の理由は、一般的に想定されるものとは違うかもしれない。その目的は、Googleユーザーの個人情報を盗むことではない。1カ月あたり最大32万ドルを搾取する詐欺計画の宣伝活動の一環であるアプリを、ユーザーにダウンロードさせることが目的だと、Check Pointでモバイルおよびクラウドセキュリティを統括するMichael Shaulov氏はForbesに語っている。
Googleにコメントを求めたところ、回答としてこの攻撃に関する同社ブログ記事へのリンクが送られてきた。Googleはこの記事の中で、Gooliganがユーザーのデータにアクセスした形跡や、特定のユーザーグループが標的になったという証拠は見つかっていないと述べている。「動機(中略)はアプリを広めることであって、情報を盗むことではない」としている。
Gooliganは、Ghost Pushというマルウェアの種類に属している。トロイの木馬型の攻撃が特徴だ。この攻撃では、悪質なソフトウェアが「Android」を搭載するスマートフォンやタブレット向けの合法的なアプリのように見せかけられる。The Wall Street Journalによると、悪質なアプリには、「StopWatch」「Perfect Cleaner」「WiFi Enhancer」といった名前のものがあるという。これらのアプリが一旦インストールされると、他のアプリが自動的にインストールされ、その中には偽のレビューを投稿するためのユーザー名とパスワードを盗むことができるものもある。
これらのダウンロードやレビューは、ハッカーによる広告詐欺の仕組みに絡んでいるらしい。ハッカーらは、強制的にダウンロードさせたアプリの中で広告を実行しているため、クリックやダウンロードが行われる度にハッカーらは金銭を得ることになるとForbesは報じている。
Check Pointによると、Gooliganは、2015年に研究者らが「SnapPea」アプリの中で検出したAndroidマルウェア活動の派生形であるという。
Googleは「Google Play」ストアで提供するアプリの審査を強化しているが、Gooliganアプリは、Google Playストアではなくサードパーティーのアプリストアやウェブサイトで提供されている。Check Pointによると、Gooliganによって許可なくダウンロードされるアプリの一部は、Playストアでも提供されているという。
GoogleはこれらのアプリをPlayストアから削除したと述べた。
自分のGoogleアカウントが被害に遭っていないかどうか心配なユーザーは、Check Pointのウェブサイトで確認することができる。
https://gooligan.checkpoint.com/
etTomioのネットニュース斜め読み
https://blogs.yahoo.co.jp/et_tomio/48960080.html
0 件のコメント:
コメントを投稿