Gooligan มัลแวร์ใหม่บน Android เจาะบัญชี Google ไปแล้วนับล้านบัญชี

December 1, 2016 Check Point, Cybersecurity, Data Security and Privacy, Endpoint Security, Google, Mobile Enterprise, Mobile Security, Products, Threats Update

Credit: Rawpixel.com/ShutterStock
Credit: Rawpixel.com/ShutterStock

นักวิจัยทางด้านความปลอดภัยจาก Check Point เปิดเผยถึงมัลแวร์บน Android ตัวใหม่ ชื่อ Gooligan ที่ทำการเจาะบัญชีผู้ใช้งาน Google ไปแล้วกว่า 1 ล้านบัญชี

Gooligan เป็นมัลแวร์ที่อาศัยช่องโหว่ในการตรวจสอบความปลอดภัยของ Third-party App Stores ซึ่งได้รับความนิยมมากขึ้นในปัจจุบัน เนื่องจากใช้เป็นช่องทางในการดาวน์โหลดแอพพลิเคชันต่างๆที่เสียเงิน หรือแอพพลิเคชันที่ไม่มีอยู่ใน Google Play Store ซึ่ง App Stores เหล่านี้มักไม่มีการตรวจสอบแอพพลิเคชันที่อัพโหลดขึ้นไปอย่างเข้มงวด ทำให้ผู้ไม่ประสงค์ดีใส่มัลแวร์ตัวนี้ไปยังแอพพลิเคชันที่ต้องการและอัพโหลดขึ้นไปเพื่อเผยแพร่ได้ทันที

หลังจากที่ดาวน์โหลดและติดตั้งเรียบร้อย มัลแวร์จะทำการติดต่อ Command and Control (C&C) Server เพื่อสั่งการดาวน์โหลด Rootkit มาติดตั้ง โดย Rootkit เหล่านี้จะเจาะผ่านช่องโหว่ที่มีอยู่ใน Android เวอร์ชัน 4 และ 5 เช่น VROOT (CVE-2013-6282) และ Towelroot (CVE-2015-3153) ซึ่งอุปกรณ์จำนวนมากยังคงมีช่องโหว่เหล่านี้อยู่ และเมื่อเจาะสำเร็จ Gooligan จะได้สิทธิ Root สามารถเข้าควบคุมอุปกรณ์ได้ทันที

โดยพฤติกรรมส่วนใหญ่ที่พบหลังจากที่เครื่องถูก Root สำเร็จนั้นคือ Gooligan จะทำการดาวน์โหลดโมดูลที่ใช้ในการเชื่อมต่อกับ Google Play Store หรือ Google Mobile Services สั่งให้เครื่องของเหยื่อทำการดาวน์โหลดและติดตั้งแอพพลิเคชันประเภท Adware เพื่อสร้างรายได้ให้แฮ็กเกอร์ผู้สร้างมัลแวร์ต่อไป นอกจากนี้ยังพบว่ามัลแวร์สามารถรับคำสั่งเพื่อให้คะแนนหรือรีวิวแอพพลิเคชันบน Google Play Store ได้อีกด้วย ในขณะเดียวกัน Gooligan สามารถเข้าถึง Google Account และขโมยข้อมูล Google Authorization Token ได้ ซึ่ง Token ที่ได้ไป ทำให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลต่างๆใน Google Services ไม่ว่าจะเป็น Google Play, Gmail, Google Docs, Google Drive และ Google Photo ได้ทันที

Credit : checkpoint.com
Credit : checkpoint.com

เบื้องต้น Check Point ได้ประสานงานกับทางทีม Google Security แล้ว เพื่อหาแนวทางในการป้องกันต่อไป โดยเริ่มด้วยการแจ้งเตือนผู้ใช้งานที่ถูกเจาะ, ยกเลิก Token ที่ถูกขโมยออกไป นอกจากนี้ Google ยังแนะนำให้เปิดใช้ Two Factor Authentication กับบริการต่างๆของ Google อีกด้วย ปัจจุบันมีบัญชีถูกเจาะแล้วกว่า 1 ล้านบัญชีและยังคงเพิ่มขึ้นเรื่อยๆอย่างต่อเนื่อง ผู้ใช้งาน Android สามารถตรวจสอบว่าบัญชีของตนเองถูกเจาะโดย Gooligan หรือไม่ ผ่านทาง https://gooligan.checkpoint.com/ ถ้าหากผู้ใช้งานคนใดถูกเจาะ แนะนำว่าให้ทำการ Re-flash อุปกรณ์เครื่องนั้น พร้อมกับเปลี่ยนรหัสผ่านของบัญชี Google โดยด่วน

ที่มา : http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Microsoft Defender for Endpoint เพิ่มฟีเจอร์แยกอุปกรณ์ที่ถูกโจมตีออกจากเครือข่ายโดยอัตโนมัติ

Microsoft เปิดตัวความสามารถใหม่ใน Defender for Endpoint ที่สามารถแยกอุปกรณ์ที่ถูกบุกรุกออกจากเครือข่ายโดยอัตโนมัติ เพื่อป้องกันไม่ให้ผู้โจมตีเคลื่อนย้ายภายในระบบได้ โดยขณะนี้อยู่ในสถานะ Preview

Huawei เปิดตัวสถาปัตยกรรมชิปใหม่ แก้ปัญหาคว่ำบาตรและข้อจำกัด Moore’s Law

Huawei Technologies ยักษ์ใหญ่ด้านอิเล็กทรอนิกส์จากจีนได้เปิดตัวเฟรมเวิร์กการออกแบบชิปใหม่ ซึ่งบริษัทระบุว่าจะช่วยลดช่องว่างในอุตสาหกรรมเซมิคอนดักเตอร์กับผู้นำระดับโลกอย่าง TSMC และ Nvidia ได้

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand