100多万个Google账户遭到新型Android恶意软件变体Gooligan攻击

Check Point宣布，其安全研究人员已发现一种 Android 恶意软件的新型变体，共有 100 多万个 Google 账户的安全受到攻击。此新型恶意软件名为 Gooligan，可获取 Android 设备的 Root 权限，并窃取存储于其中的电子邮箱地址和身份验证令牌。凭借此类信息，攻击者可通过 Gmail、Google Photos、Google Docs、Google Play、Google Drive 以及 G Suite 获取用户的敏感信息。

Check Point 移动产品总监 Michael Shaulov 指出：“100 多万个 Google 账户的信息遭到窃取，这非常令人担忧，也表示网络攻击行为已经发展到一个新的阶段。我们看到，黑客的策略在发生改变，他们现在转为攻击移动设备，以获取存储于其中的敏感信息。”

主要发现：

· 此恶意软件导致每天有 13,000 台设备遭受攻击，并成为首个获得 100 多万台设备 Root 权限的恶意软件。

· 数百个电子邮箱地址与全球各地的企业账户相关联。

· Gooligan 主要攻击 Android 4 (Jelly Bean 和 KitKat) 以及 Android 5 (Lollipop) 设备，目前使用的 Android 设备中近 74% 都为这两个版本。

· 攻击者控制设备后，通过欺诈手段安装 Google Play 上的应用程序并代表受害者对其进行评级，从而获利。

· 每天，Gooligan 在遭到攻击的设备上安装至少 30,000 个应用程序。自其发动攻击后，已总共安装 200 多万个应用程序。

Check Point 立即与 Google 安全团队取得联系，向其通报与该恶意软件相关的信息。Google Android 安全总监 Adrian Ludwig 强调：“我们非常欣赏与 Check Point 之间的合作，大家携手共进，努力去发现并及时采取行动解决问题。我们一直致力于保护用户免遭 Ghost Push 系列恶意软件的攻击，包括采取各种措施保护用户并提高 Android 生态系统整体的安全。”Google 采取了一系列行动，包括联系受到感染的用户、废除其身份验证令牌、删除 Google Play 中与 Ghost Push 系列恶意软件有关的应用程序，并在应用程序验证技术中增加了全新的保护措施。

去年，Check Point 移动研究团队首次在遭到恶意软件攻击的 SnapPea 应用程序中发现 Gooligan 代码。2016 年 8 月，该恶意软件以一种新型变体的形式再次出现，并自此每天导致 13,000 台设备遭受攻击。这些设备中大约 57% 位于亚洲，另有约 12% 位于欧洲。数百个遭泄露的电子邮箱地址与全球各地的企业账户相关联。用户下载感染 Gooligan 的应用程序并将其安装到易受攻击的 Android 设备，或者单击网络钓鱼信息中的恶意链接时，都会受到感染。

Check Point 现推出一款免费在线工具，可帮助用户检查自己的账户是否遭到攻击。Shaulov 补充道：“若您的账户已遭到攻击，则必须将移动设备在安全状态下安装操作系统。这一复杂过程称为刷机，而且我们建议您关闭设备的电源。如需更多协助，请联系您的手机生产商或移动服务提供商。”