צ'קפוינט חשפה קמפיין זדוני שאחראי למיליון חשבונות גוגל פרוצים

בקצרה: צ'קפוינט מדווחת היום כי חשפה קמפיין זדוני חדש בשם Gooligan, אשר אחראי לפריצה של למעלה ממיליון חשבונות גוגל. מתוכם מאות משויכים לחשבונות ארגוניים.

מספר חשבונות גוגל הפרוצים שחשפה פייסבוק צומח בקצב של 13,000 מכשירים בכל יום.

Gooligan  משפיע על מכשירי אנדרואיד 4 (ג'לי בין / קיטקט) ו- 5 (לוליפופ), שמהווים למעלה מ- 74% מהמכשירים בשוק. כ- 40% מהמכשירים האלה נמצאים באסיה וכ- 12% באירופה.

צוות של גוגל עובד באופן הדוק עם צוות צ'ק פוינט כדי לחשוף את מקור הקמפיין.

"המחקר שלנו חף כיצד המכשיר פורץ לליבת מכשירים פרוצים וגונב טוקנים של אימות בהם ניתן להשתמש כדי לגשת למידע בגוגל פליי, ג'ימייל, תמונות גוגל, מסמכי גוגל, G Suite, גוגל דרייב, ועוד", נכתב בבלוג של צ'ק פוינט.

Gooligan הוא גרסה מחודשת של קמפיין קוד זדוני לאנדרואיד שנחשף בשנה שעברה באפליקציה SnapPea.

"אנו מעריכים את המחקר של צ'ק פוינט ואת השותפות שלהם בעבודה להבנת הבעיות האלה", אמר אדריאן ולדוויג, מנהל אבטחת אנדרואיד בגוגל. "כחלק מהמאמצים שלנו להגן על משתמשים מפני משפחת הקוד הזדוני Ghost Push, נקטנו במספר צעדים כדי להגן על המשתמשים שלנו ולשפר את האבטחה של סביבת אנדרואיד כולה".

"במחקר שלנו זיהינו עשרות אפליקציות מזויפות שהודבקו בקוד זדוני זה. אם אתה מוריד אחת מהאפליקציות שפרסמנו, אתה עלול להידבק. אתה יכול לסקור את רשימת האפליקציות שלך ב- settings-Apps. אם אתה מוצא אחת מהאפליקציות האלה, אנא שקול להוריד אנטי וירוס כגון Check Point ZoneAlarm כדי לבדוק אם באמת נפגעת.

רשימת האפליקציות מופיע בתחתית ההודעה של צ'ק פוינט

ממצאי של קוד Gooligan נמצאו בעשרות אפליקציות הנראות לגיטימיות בחנויות אפליקציות חיצוניות לאנדרואיד. חנויות אלה מהוות חלופה מושכת לחנות Google Play מכיוון שרבות המאפליקציות שלהן מוצעות בחינם, או שהן מציעות גרסאות חינמיות של אפליקציות בתשלום. עם זאת, האבטחה של חנויות אלה והאפליקציות שבהן אינן תמיד מאומתות. אפליקציות המכירות את Gooligan יכולות להיות מותקנות גם באמצעות הונאת פישינג בה התוקפים שולחים קישורים לאפליקציות הנגועות דרך הודעות SMS או שירותי הודעות אחרים.

חוקרי צ'ק פוינט זיהו את הקוד הראשון של Gooligan באפליקציה הזדונית SnapPea. באותו הזמן הקוד הזדוני דווח על ידי מספר חוקרי אבטחה, והוא יוחס למספר משפחות קוד זדוני כגון Ghostpush ו- MonkeyTest ו- Xinyinhe. לקראת סוף 2015, יוצרי הקוד הזדוני ירדו למחתרת עד קיץ 2016, אז הקוד הזדוני הופיע שוב עם ארכיטקטורה מורכבת יותר אשר מזריקה קוד זדוני אל תוך תהליכי מערכת של אנדרואיד.

השינוי בדרך בה הקוד הזדוני פועל כיום עלול להיות ניסיון לממן את הפעילות באמצעות פעילות פרסום זדונית. הקוד הזדוני מדמה לחיצות על פרסומות באפליקציות אשר מסופקות על ידי רשתות פרסום מוכרות ומכריח את האפליקציה להיות מותקנת על המכשיר. התוקף מקבל תשלום מהרשת כאשר אחת מהאפליקציות האלה מותקנת בהצלחה.

לוגים שנאספו על ידי חוקרי צ'ק פוינט מראים כי בכל יום Gooligan מתקין בכל יום לפחות 30,000 אפליקציות על גבי מכשירים פרוצים, המסתכמים ב- 2 מיליון אפליקציות מאז שהקמפיין החל.

כך מתבצעת ההדבקה

ההדבקה מתחילה כאשר משתמש מתקין את האפליקציה הנגועה ב- Gooligan על גבי מכשיר אנדרואיד פגיע. האפליקציה נמצאת בדרך כלל בחנות אנדרואיד חיצונית, אבל ניתן גם להורידה ישירות באמצעות לחיצה על קישור פישינג המופיע בהודעה. לאחר שהאפליקציה הנגועה הותקנה, היא שולחת נתונים אודות המכשיר אל שרת הפיקוד והשליטה של הקמפיין.

לאחר מכן Gooligan מוריד את ה- Rootkit משרת ה- C & C, וזה מנצל מספר פרצות באנדרואיד 4 ו- 5, כולל הפרצות VROOT ו- Towelroot הידועות. פרצות אלה עדיין קיימות במכשירים רבים מכיוון שעדכוני אבטחה שסוגרים אותן לא זמינים עבור חלק מגרסאות האנדרואיד, או שהמשתמש מעולם לא טרח להתקינן. אם הפריצה מוצלחת, אז התוקף מקבל שליטה מלאה על המכשיר ויכול לבצע פקודות הדורשות הרשאה מרחוק.