RSS

[Virus Alert] Προσοχή στο Android malware Gooligan

01 Dec

 

Σύμφωνα με το Checkpoint blog μια νέα ενεργή “εστία” μόλυνσης με Android malware εντοπίστηκε πρόσφατα σε πάνω από 1 εκατομμύριο συσκευές.

 

Η Check Point που την ανέλυσε της έδωσε την κωδική ονομασία Gooligan, πρωτοεμφανίστηκε τον Αύγουστο και μολύνει περίπου 13.000 συσκευές καθημερινά.

Το malware στοχεύει σε vulnerabilities των εκδόσεων 4 και 5 του Android και μεταδίδεται μέσω φαινομενικά ασφαλών εφαρμογών από τρίτα app stores -εκτός Google Play- με το μεγαλύτερο μέρος των θυμάτων να είναι στην Ασία.

Εκμεταλλευόμενο δύο γνωστές ευπάθειες του Linux kernel, το κακόβουλο λογισμικό αποκτάει τον έλεγχο της συσκευής rootάροντας της , “παραβιάζει” το Google authorization token και παίρνει πλήρη πρόσβαση στον λογαριασμό Google του χρήστη (Gmail, Drive, Photos κα). Σύμφωνα με την Google το malware δεν “κατεβάζει ” προσωπικά αρχεία ή emails και δεν χρησιμοποιεί το token για απάτες, αλλά κατεβάζει διάφορες εφαρμογές από το Play Store αφήνοντας 5 αστέρια στην αξιολόγηση τους, προωθώντας τες ψηλότερα στο σχετικό ranking.

The infection begins when a user downloads and installs a Gooligan-infected app on a vulnerable Android device. Our research team has found infected apps on third-party app stores, but they could also be downloaded by Android users directly by tapping malicious links in phishing attack messages.  After an infected app is installed, it sends data about the device to the campaign’s Command and Control (C&C) server.

Gooligan then downloads a rootkit from the C&C server that takes advantage of multiple Android 4 and 5 exploits including the well-known VROOT (CVE-2013-6282) and Towelroot (CVE-2014-3153). These exploits still plague many devices today because security patches that fix them may not be available for some versions of Android, or the patches were never installed by the user. If rooting is successful, the attacker has full control of the device and can execute privileged commands remotely.

After achieving root access, Gooligan downloads a new, malicious module from the C&C server and installs it on the infected device. This module injects code into running Google Play or GMS (Google Mobile Services) to mimic user behavior so Gooligan can avoid detection, a technique first seen with the mobile malware HummingBad.

The module allows Gooligan to:

Steal a user’s Google email account and authentication token information

Install apps from Google Play and rate them to raise their reputation

Install adware to generate revenue

Ad servers, which don’t know whether an app using its service is malicious or not, send Gooligan the names of the apps to download from Google Play. After an app is installed, the ad service pays the attacker. Then the malware leaves a positive review and a high rating on Google Play using content it receives from the C&C server.

Όποιος ανησυχεί ότι έχει πέσει θύμα του Gooligan μπορεί να επισκεφτεί την σελίδα https://gooligan.checkpoint.com/ . Σε περίπτωση μόλυνσης χρειάζεται επναφλασάρισμα της συσκευής και άμεση αλλαγή του Google account password.

Οι μολυσμένες εφαρμογές είναι :


  • Perfect Cleaner
  • Demo
  • WiFi Enhancer
  • Snake
  • gla.pev.zvh
  • Html5 Games
  • Demm
  • memory booster
  • แข่งรถสุดโหด
  • StopWatch
  • Clear
  • ballSmove_004
  • Flashlight Free
  • memory booste
  • Touch Beauty
  • Demoad
  • Small Blue Point
  • Battery Monitor
  • 清理大师
  • UC Mini
  • Shadow Crush
  • Sex Photo
  • 小白点
  • tub.ajy.ics
  • Hip Good
  • Memory Booster
  • phone booster
  • SettingService
  • Wifi Master
  • Fruit Slots
  • System Booster
  • Dircet Browser
  • FUNNY DROPS
  • Puzzle Bubble-Pet Paradise
  • GPS
  • Light Browser
  • Clean Master
  • YouTube Downloader
  • KXService
  • Best Wallpapers
  • Smart Touch
  • Light Advanced
  • SmartFolder
  • youtubeplayer
  • Beautiful Alarm
  • PronClub
  • Detecting instrument
  • Calculator
  • GPS Speed
  • Fast Cleaner
  • Blue Point
  • CakeSweety
  • Pedometer
  • Compass Lite
  • Fingerprint unlock
  • PornClub
  • com.browser.provider
  • Assistive Touch
  • Sex Cademy
  • OneKeyLock
  • Wifi Speed Pro
  • Minibooster
  • com.so.itouch
  • com.fabullacop.loudcallernameringtone
  • Kiss Browser
  • Weather
  • Chrono Marker
  • Slots Mania
  • Multifunction Flashlight
  • So Hot
  • Google
  • HotH5Games
  • Swamm Browser
  • Billiards
  • TcashDemo
  • Sexy hot wallpaper
  • Wifi Accelerate
  • Simple Calculator
  • Daily Racing
  • Talking Tom 3
  • com.example.ddeo
  • Test
  • Hot Photo
  • QPlay
  • Virtual
  • Music Cloud


[via]

 
Leave a comment

Posted by on 1 December, 2016 in MinOtavrS blog

 

Tags: , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: