TTT Virtual Summit 2023

Gooligan มัลแวร์ใหม่บน Android เจาะบัญชี Google ไปแล้วนับล้านบัญชี

December 1, 2016 Check Point, Data Security and Privacy, Endpoint Security, Google, Mobile Enterprise, Mobile Security, Products, Security, Threats Update

Credit: Rawpixel.com/ShutterStock
Credit: Rawpixel.com/ShutterStock

นักวิจัยทางด้านความปลอดภัยจาก Check Point เปิดเผยถึงมัลแวร์บน Android ตัวใหม่ ชื่อ Gooligan ที่ทำการเจาะบัญชีผู้ใช้งาน Google ไปแล้วกว่า 1 ล้านบัญชี

Gooligan เป็นมัลแวร์ที่อาศัยช่องโหว่ในการตรวจสอบความปลอดภัยของ Third-party App Stores ซึ่งได้รับความนิยมมากขึ้นในปัจจุบัน เนื่องจากใช้เป็นช่องทางในการดาวน์โหลดแอพพลิเคชันต่างๆที่เสียเงิน หรือแอพพลิเคชันที่ไม่มีอยู่ใน Google Play Store ซึ่ง App Stores เหล่านี้มักไม่มีการตรวจสอบแอพพลิเคชันที่อัพโหลดขึ้นไปอย่างเข้มงวด ทำให้ผู้ไม่ประสงค์ดีใส่มัลแวร์ตัวนี้ไปยังแอพพลิเคชันที่ต้องการและอัพโหลดขึ้นไปเพื่อเผยแพร่ได้ทันที

หลังจากที่ดาวน์โหลดและติดตั้งเรียบร้อย มัลแวร์จะทำการติดต่อ Command and Control (C&C) Server เพื่อสั่งการดาวน์โหลด Rootkit มาติดตั้ง โดย Rootkit เหล่านี้จะเจาะผ่านช่องโหว่ที่มีอยู่ใน Android เวอร์ชัน 4 และ 5 เช่น VROOT (CVE-2013-6282) และ Towelroot (CVE-2015-3153) ซึ่งอุปกรณ์จำนวนมากยังคงมีช่องโหว่เหล่านี้อยู่ และเมื่อเจาะสำเร็จ Gooligan จะได้สิทธิ Root สามารถเข้าควบคุมอุปกรณ์ได้ทันที

โดยพฤติกรรมส่วนใหญ่ที่พบหลังจากที่เครื่องถูก Root สำเร็จนั้นคือ Gooligan จะทำการดาวน์โหลดโมดูลที่ใช้ในการเชื่อมต่อกับ Google Play Store หรือ Google Mobile Services สั่งให้เครื่องของเหยื่อทำการดาวน์โหลดและติดตั้งแอพพลิเคชันประเภท Adware เพื่อสร้างรายได้ให้แฮ็กเกอร์ผู้สร้างมัลแวร์ต่อไป นอกจากนี้ยังพบว่ามัลแวร์สามารถรับคำสั่งเพื่อให้คะแนนหรือรีวิวแอพพลิเคชันบน Google Play Store ได้อีกด้วย ในขณะเดียวกัน Gooligan สามารถเข้าถึง Google Account และขโมยข้อมูล Google Authorization Token ได้ ซึ่ง Token ที่ได้ไป ทำให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลต่างๆใน Google Services ไม่ว่าจะเป็น Google Play, Gmail, Google Docs, Google Drive และ Google Photo ได้ทันที

Credit : checkpoint.com
Credit : checkpoint.com

เบื้องต้น Check Point ได้ประสานงานกับทางทีม Google Security แล้ว เพื่อหาแนวทางในการป้องกันต่อไป โดยเริ่มด้วยการแจ้งเตือนผู้ใช้งานที่ถูกเจาะ, ยกเลิก Token ที่ถูกขโมยออกไป นอกจากนี้ Google ยังแนะนำให้เปิดใช้ Two Factor Authentication กับบริการต่างๆของ Google อีกด้วย ปัจจุบันมีบัญชีถูกเจาะแล้วกว่า 1 ล้านบัญชีและยังคงเพิ่มขึ้นเรื่อยๆอย่างต่อเนื่อง ผู้ใช้งาน Android สามารถตรวจสอบว่าบัญชีของตนเองถูกเจาะโดย Gooligan หรือไม่ ผ่านทาง https://gooligan.checkpoint.com/ ถ้าหากผู้ใช้งานคนใดถูกเจาะ แนะนำว่าให้ทำการ Re-flash อุปกรณ์เครื่องนั้น พร้อมกับเปลี่ยนรหัสผ่านของบัญชี Google โดยด่วน

ที่มา : http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/

Tags


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

[Black Hat Asia 2023] ทำลายห่วงโซ่: มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์

ยินดีต้อนรับสู่มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์ หัวข้อนี้ถูกนำเสนอโดยนักวิจัยด้านความปลอดภัยชื่อ Yakir Kadkoda และ Ilay Goldman จาก Aqua Security ซึ่งมีประสบการณ์มากมายในงานด้าน Red Team พวกเขาให้ข้อมูลเชิงลึกอันมีค่าเกี่ยวกับช่องโหว่ที่แฝงตัวอยู่ในช่วงการพัฒนาซอฟต์แวร์ ที่เผยถึงความเสี่ยงที่องค์กรต้องเผชิญในการรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์

[Black Hat Asia 2023] สรุป Keynote วันที่ 1 เรื่อง “เตรียมตัวสำหรับการเดินทางอันยาวนานเพื่อความปลอดภัยของข้อมูล”

ข้อมูลถือเป็นปัจจัยที่ 5 ของการผลิต และความปลอดภัยของข้อมูล (Data Security) ก็ได้รับการจัดอันดับให้มีความสำคัญสูงสุดโดยรัฐบาลทั่วโลก ในประเทศจีน กฎหมายที่เกี่ยวข้องกับความปลอดภัยข้อมูล เช่น “กฎหมายความปลอดภัยของข้อมูล” และ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ได้รับการประกาศใช้และมีผลบังคับใช้ในปี 2565 …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand