惡意程式Gooligan藉冒牌程式蔓延，入侵逾100萬個Google帳號

安全設備廠商Check Point警告，一隻名為Gooligan的惡意程式透過冒牌程式蔓延開來，並可能入侵超過上百萬Google帳號。
 
安全研究人員表示，Gooligan是由該公司研究人員去年於SnapPea app中首度發現的Android惡意程式的最新變種。它藉由感染第三方軟體市集中的數十款冒牌程式下載到用戶手機，或經由網釣郵件誘使用戶安裝。Checkpoint目前發現有86款冒牌App遭感染Gooligan，用戶可在CheckPoint網頁下方列表了解自己是否中標。

攻擊手法（來源：Check Point）

 
安裝完成後，Gooligan即開始向外部C&C（command and control）伺服器通訊，並自C&C伺服器下載rootkit。這個rootkit再運用知名Root工具試圖入侵Linux（及Android）中 CVE-2013-6282、CVE-2014-3153兩項漏洞，一旦成功，即可取得裝置控制權，再自C&C伺服器下載安裝惡意模組於感染手機。這兩項漏洞已經有修補程式釋出，但由於Android版本過於分散或是用戶未下載更新，因而仍有用戶暴露於風險中。
 
研究人員指出，這些惡意模組最終可讓Gooligan竊取用戶Google 帳號及認證憑證資訊，估計有超過百萬包括Gmail、Google Photos、Google Docs、Google Drive及G Suite等帳號不需密碼也可被存取，而且每天以1.3萬部裝置速度增加中。此外它還能從Google Play下載app，只要散佈數量夠多，就能操弄這些app的排名。或是在手機內安裝廣告程式騙取廣告營收。
 
受影響裝置主要為Android 4（Jelly Bean、KitKat）及5（Lollipop）裝置，佔了現行使用裝置的74%。而以受害裝置所在地區來看，亞洲佔了57%，約19%位於美洲，非洲與歐洲各為15%及9%。
 
CheckPoint已經向Google通報該惡意程式。所幸Google Android安全小組總監Adrian Ludwig指出，經過過去數星期的調查，沒有發現被入侵帳號資料遭到存取，或是個人被鎖定的證據。此外Google還提供Verifiy App服務可以瞄用戶手機，一旦發現Gooligan即會通知用戶。安全公司並呼籲用戶不要輕信排名來下載app。