Breaking News
AMR | Sophos Webinar

Gooligan มัลแวร์ใหม่บน Android เจาะบัญชี Google ไปแล้วนับล้านบัญชี

Credit: Rawpixel.com/ShutterStock
Credit: Rawpixel.com/ShutterStock

นักวิจัยทางด้านความปลอดภัยจาก Check Point เปิดเผยถึงมัลแวร์บน Android ตัวใหม่ ชื่อ Gooligan ที่ทำการเจาะบัญชีผู้ใช้งาน Google ไปแล้วกว่า 1 ล้านบัญชี

Gooligan เป็นมัลแวร์ที่อาศัยช่องโหว่ในการตรวจสอบความปลอดภัยของ Third-party App Stores ซึ่งได้รับความนิยมมากขึ้นในปัจจุบัน เนื่องจากใช้เป็นช่องทางในการดาวน์โหลดแอพพลิเคชันต่างๆที่เสียเงิน หรือแอพพลิเคชันที่ไม่มีอยู่ใน Google Play Store ซึ่ง App Stores เหล่านี้มักไม่มีการตรวจสอบแอพพลิเคชันที่อัพโหลดขึ้นไปอย่างเข้มงวด ทำให้ผู้ไม่ประสงค์ดีใส่มัลแวร์ตัวนี้ไปยังแอพพลิเคชันที่ต้องการและอัพโหลดขึ้นไปเพื่อเผยแพร่ได้ทันที

หลังจากที่ดาวน์โหลดและติดตั้งเรียบร้อย มัลแวร์จะทำการติดต่อ Command and Control (C&C) Server เพื่อสั่งการดาวน์โหลด Rootkit มาติดตั้ง โดย Rootkit เหล่านี้จะเจาะผ่านช่องโหว่ที่มีอยู่ใน Android เวอร์ชัน 4 และ 5 เช่น VROOT (CVE-2013-6282) และ Towelroot (CVE-2015-3153) ซึ่งอุปกรณ์จำนวนมากยังคงมีช่องโหว่เหล่านี้อยู่ และเมื่อเจาะสำเร็จ Gooligan จะได้สิทธิ Root สามารถเข้าควบคุมอุปกรณ์ได้ทันที

โดยพฤติกรรมส่วนใหญ่ที่พบหลังจากที่เครื่องถูก Root สำเร็จนั้นคือ Gooligan จะทำการดาวน์โหลดโมดูลที่ใช้ในการเชื่อมต่อกับ Google Play Store หรือ Google Mobile Services สั่งให้เครื่องของเหยื่อทำการดาวน์โหลดและติดตั้งแอพพลิเคชันประเภท Adware เพื่อสร้างรายได้ให้แฮ็กเกอร์ผู้สร้างมัลแวร์ต่อไป นอกจากนี้ยังพบว่ามัลแวร์สามารถรับคำสั่งเพื่อให้คะแนนหรือรีวิวแอพพลิเคชันบน Google Play Store ได้อีกด้วย ในขณะเดียวกัน Gooligan สามารถเข้าถึง Google Account และขโมยข้อมูล Google Authorization Token ได้ ซึ่ง Token ที่ได้ไป ทำให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลต่างๆใน Google Services ไม่ว่าจะเป็น Google Play, Gmail, Google Docs, Google Drive และ Google Photo ได้ทันที

Credit : checkpoint.com
Credit : checkpoint.com

เบื้องต้น Check Point ได้ประสานงานกับทางทีม Google Security แล้ว เพื่อหาแนวทางในการป้องกันต่อไป โดยเริ่มด้วยการแจ้งเตือนผู้ใช้งานที่ถูกเจาะ, ยกเลิก Token ที่ถูกขโมยออกไป นอกจากนี้ Google ยังแนะนำให้เปิดใช้ Two Factor Authentication กับบริการต่างๆของ Google อีกด้วย ปัจจุบันมีบัญชีถูกเจาะแล้วกว่า 1 ล้านบัญชีและยังคงเพิ่มขึ้นเรื่อยๆอย่างต่อเนื่อง ผู้ใช้งาน Android สามารถตรวจสอบว่าบัญชีของตนเองถูกเจาะโดย Gooligan หรือไม่ ผ่านทาง https://gooligan.checkpoint.com/ ถ้าหากผู้ใช้งานคนใดถูกเจาะ แนะนำว่าให้ทำการ Re-flash อุปกรณ์เครื่องนั้น พร้อมกับเปลี่ยนรหัสผ่านของบัญชี Google โดยด่วน

ที่มา : http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/



About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

[Guest Post] Aruba SD-WAN โซลูชั่นสำหรับจัดการสาขา จะกี่สาขาทั่วโลก ก็เป็นเรื่องง่ายสำหรับคุณ

วิวัฒนาการในการช่วยให้องค์กรบริหารจัดการการเชื่อมต่อสาขาได้อย่างมีประสิทธิภาพ แม้ว่าจะมีความหลากหลายเพียงใดก็ตาม Aruba SD-WAN จะช่วยให้จัดการได้ง่ายขึ้น เร็วขึ้น และปลอดภัยขึ้น ด้วยคุณสมบัติอันหลากหลาย ไม่ว่าจะเป็น programmable, firewall ในตัว, Zero Touch Provisioning และอื่นๆอีกมากมาย ซึ่งสามารถบริหารจัดการ traffic ได้อย่างชาญฉลาดตามนโยบายที่กำหนดไว้ อีกทั้งยังใช้งานง่าย มีความคล่องตัว และให้การเชื่อมต่อที่สามารถปรับเปลี่ยนได้

[Video Webinar] ทุกเรื่องต้องรู้! ก่อนลงทุน Wi-Fi 6 โดย Huawei

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Huawei Webinar เรื่อง “ทุกเรื่องต้องรู้! ก่อนลงทุน Wi-Fi 6” พร้อมแนะนำ Check List สำหรับตรวจสอบว่าคุณพร้อมสำหรับการเริ่มใช้ Wi-Fi 6 แล้วหรือยัง …