Công ty bảo mật Check Point đã tiết lộ một chiến dịch phần mềm độc hại mới liên quan đến việc sử dụng các ứng dụng độc hại để root thiết bị Android, đánh cắp mã thông báo xác thực của Google và lấy trái phép số lượng cài đặt và đánh giá điểm cho các ứng dụng khác.
Phần mềm độc hại, được đặt tên là "Gooligan" của Check Point, sử dụng các lỗ hổng đã biết để có quyền truy cập root - kiểm soát hoàn toàn - đối với các thiết bị chạy Android 4.x và 5.x, trước khi sử dụng để đánh cắp tên tài khoản Google và mã thông báo xác thực. Điều này sau đó cho phép thủ phạm cài đặt từ xa các ứng dụng khác từ Google Play trên thiết bị của nạn nhân và đăng các đánh giá sai trong tên của họ.
Về lý thuyết, phần mềm độc hại như thế này, được thiết kế để đánh cắp các chi tiết xác thực, có thể đã có thể truy cập vào các khu vực khác của tài khoản Google, như Gmail hoặc Ảnh. Không có bằng chứng nào cho thấy "Gooligan" đã làm bất cứ điều gì như thế này - thay vào đó, có vẻ như nó được xây dựng để kiếm tiền cho người tạo ra nó thông qua các cài đặt ứng dụng bất hợp pháp.
Điều đáng chú ý về chủng phần mềm độc hại này là số lượng tài khoản bị ảnh hưởng - hơn một triệu kể từ khi chiến dịch bắt đầu, theo Check Point. Phần lớn - 57 phần trăm - trong số các tài khoản này đã bị xâm phạm ở châu Á, theo công ty. Tiếp theo là châu Mỹ với 19%, châu Phi với 15% và châu Âu với 9%. Điểm kiểm tra đã thiết lập một trang web nơi bạn có thể kiểm tra xem tài khoản của mình có bị ảnh hưởng hay không; Google cũng nói rằng nó sẽ tiếp cận với bất kỳ ai có thể bị tấn công.
Trước thông báo công khai ngày hôm nay, Google và Check Point đã hợp tác để cải thiện bảo mật của Android.
Chúng tôi đánh giá cao cả nghiên cứu của Check Point và sự hợp tác của họ khi chúng tôi làm việc cùng nhau để hiểu những vấn đề này ", ông Adrian Ludwig, giám đốc bảo mật Android của Google cho biết." Là một phần trong những nỗ lực không ngừng của chúng tôi để bảo vệ người dùng khỏi gia đình Ghost Push. phần mềm độc hại, chúng tôi đã thực hiện nhiều bước để bảo vệ người dùng của mình và cải thiện tính bảo mật của toàn bộ hệ sinh thái Android."
Check Point cũng lưu ý rằng công nghệ "Xác minh ứng dụng" của Google đã được cập nhật để xử lý các ứng dụng sử dụng các lỗ hổng như thế này. Điều đó rất quan trọng bởi vì, mặc dù nó không giúp các thiết bị đã bị xâm nhập, nhưng nó cản trở việc cài đặt trong tương lai trên 92% thiết bị Android đang hoạt động, ngay cả khi không cần cập nhật chương trình cơ sở.
Giống như các khai thác dựa trên ứng dụng khác, tính năng 'Xác minh ứng dụng' của Google hiện bảo vệ 92% thiết bị hoạt động khỏi 'Gooligan'.
"Xác minh ứng dụng" được tích hợp vào Dịch vụ Google Play và được bật theo mặc định trong Android 4.2 Jelly Bean - chiếm 92, 4 phần trăm thiết bị hoạt động, dựa trên các số hiện tại. (Trên các phiên bản cũ hơn, nó có thể được kích hoạt thủ công.) Giống như các phần còn lại của Dịch vụ Play, nó được cập nhật thường xuyên trong nền và nó chặn cài đặt các ứng dụng độc hại và có thể khuyên người dùng gỡ cài đặt phần mềm độc hại đã có.
Trên các phiên bản Android mới hơn, các khai thác cơ bản được sử dụng bởi "Gooligan" cho các thiết bị gốc sẽ được xử lý thông qua các bản vá bảo mật. Vì vậy, có ý nghĩa như một triệu tài khoản bị xâm nhập, đây cũng là một ví dụ về chiến lược bảo mật của Google cho phần mềm độc hại dựa trên ứng dụng hoạt động như được thiết kế, chặn cài đặt các ứng dụng bị ảnh hưởng trên phần lớn hệ sinh thái.
Nếu bạn lo ngại rằng tài khoản của mình có thể bị ảnh hưởng, bạn có thể truy cập trang web của Check Point. Trong tương lai, các biện pháp bảo vệ hiện có của Google - một phần của Dịch vụ Play trong bốn năm qua - sẽ đảm bảo bạn được bảo vệ.
Cập nhật: Kỹ sư trưởng của Google về bảo mật Android, Adrian Ludwig, có một bài viết rộng rãi trên nền tảng của thông báo "Nhân viên" ngày nay và những gì Google làm về nó, trên Google+.
