Gooligan มัลแวร์ใหม่บน Android เจาะบัญชี Google ไปแล้วนับล้านบัญชี

Credit: Rawpixel.com/ShutterStock
Credit: Rawpixel.com/ShutterStock

นักวิจัยทางด้านความปลอดภัยจาก Check Point เปิดเผยถึงมัลแวร์บน Android ตัวใหม่ ชื่อ Gooligan ที่ทำการเจาะบัญชีผู้ใช้งาน Google ไปแล้วกว่า 1 ล้านบัญชี

Gooligan เป็นมัลแวร์ที่อาศัยช่องโหว่ในการตรวจสอบความปลอดภัยของ Third-party App Stores ซึ่งได้รับความนิยมมากขึ้นในปัจจุบัน เนื่องจากใช้เป็นช่องทางในการดาวน์โหลดแอพพลิเคชันต่างๆที่เสียเงิน หรือแอพพลิเคชันที่ไม่มีอยู่ใน Google Play Store ซึ่ง App Stores เหล่านี้มักไม่มีการตรวจสอบแอพพลิเคชันที่อัพโหลดขึ้นไปอย่างเข้มงวด ทำให้ผู้ไม่ประสงค์ดีใส่มัลแวร์ตัวนี้ไปยังแอพพลิเคชันที่ต้องการและอัพโหลดขึ้นไปเพื่อเผยแพร่ได้ทันที

หลังจากที่ดาวน์โหลดและติดตั้งเรียบร้อย มัลแวร์จะทำการติดต่อ Command and Control (C&C) Server เพื่อสั่งการดาวน์โหลด Rootkit มาติดตั้ง โดย Rootkit เหล่านี้จะเจาะผ่านช่องโหว่ที่มีอยู่ใน Android เวอร์ชัน 4 และ 5 เช่น VROOT (CVE-2013-6282) และ Towelroot (CVE-2015-3153) ซึ่งอุปกรณ์จำนวนมากยังคงมีช่องโหว่เหล่านี้อยู่ และเมื่อเจาะสำเร็จ Gooligan จะได้สิทธิ Root สามารถเข้าควบคุมอุปกรณ์ได้ทันที

โดยพฤติกรรมส่วนใหญ่ที่พบหลังจากที่เครื่องถูก Root สำเร็จนั้นคือ Gooligan จะทำการดาวน์โหลดโมดูลที่ใช้ในการเชื่อมต่อกับ Google Play Store หรือ Google Mobile Services สั่งให้เครื่องของเหยื่อทำการดาวน์โหลดและติดตั้งแอพพลิเคชันประเภท Adware เพื่อสร้างรายได้ให้แฮ็กเกอร์ผู้สร้างมัลแวร์ต่อไป นอกจากนี้ยังพบว่ามัลแวร์สามารถรับคำสั่งเพื่อให้คะแนนหรือรีวิวแอพพลิเคชันบน Google Play Store ได้อีกด้วย ในขณะเดียวกัน Gooligan สามารถเข้าถึง Google Account และขโมยข้อมูล Google Authorization Token ได้ ซึ่ง Token ที่ได้ไป ทำให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลต่างๆใน Google Services ไม่ว่าจะเป็น Google Play, Gmail, Google Docs, Google Drive และ Google Photo ได้ทันที

Credit : checkpoint.com
Credit : checkpoint.com

เบื้องต้น Check Point ได้ประสานงานกับทางทีม Google Security แล้ว เพื่อหาแนวทางในการป้องกันต่อไป โดยเริ่มด้วยการแจ้งเตือนผู้ใช้งานที่ถูกเจาะ, ยกเลิก Token ที่ถูกขโมยออกไป นอกจากนี้ Google ยังแนะนำให้เปิดใช้ Two Factor Authentication กับบริการต่างๆของ Google อีกด้วย ปัจจุบันมีบัญชีถูกเจาะแล้วกว่า 1 ล้านบัญชีและยังคงเพิ่มขึ้นเรื่อยๆอย่างต่อเนื่อง ผู้ใช้งาน Android สามารถตรวจสอบว่าบัญชีของตนเองถูกเจาะโดย Gooligan หรือไม่ ผ่านทาง https://gooligan.checkpoint.com/ ถ้าหากผู้ใช้งานคนใดถูกเจาะ แนะนำว่าให้ทำการ Re-flash อุปกรณ์เครื่องนั้น พร้อมกับเปลี่ยนรหัสผ่านของบัญชี Google โดยด่วน

ที่มา : http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/



About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

Cisco เพิ่มความสามารถให้ Network Insights ยกระดับการป้องกันปัญหาแบบ Proactive

Cisco ได้เเผยความสามารถใหม่ในฟังก์ชัน Network Insights ใน Data Center Network Assurance ให้สามารถรวบรวมข้อมูลในเครือข่าย แจ้งเตือน และระบุปัญหา ได้ก่อนเกิดเหตุ

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ