체크 포인트 소프트웨어 테크놀로지스는 12 월 1 일, 새로운 Android 악성 코드에 의해 100 만 건 이상의 Google 계정이 보안 침해를 받고있는 것으로 판명했다고 발표했다.
"Gooligan"라고 명명 된 악성 코드 캠페인은 Android 기반 장치가 root 된 장치에 저장되어있는 이메일 주소로 인증 토큰을 절취하여 공격자가 이러한 정보를 입수 한 경우 각종 Google 서비스 (Gmail, Google 포토 Google 문서 도구, Google Play, Google 드라이브, G Suite)의 중요 정보에 대한 무단 액세스 할 우려가 있다고.
공격의 개요로 하루 1 만 3000 대의 장치가 감염되어 있으며, 100 만대 이상의 장치가 root 된 사례는 이번 공격 이 처음, 절취 된 이메일 주소 중 수백 건은 세계 각국의 기업에서 사용되고있는 주소라고한다.
Gooligan이 표적으로 삼고있는 것은, Android 4 (Jelly Bean, KitKat) 및 Android 5 (Lollipop)에서 두 가지 버전의 점유율은 현재 사용되는 Android 탑재 장치 전체의 74 % 가까이를 차지한다.
장치를 침해 한 공격자는 Google Play 앱을 무단으로 설치하고 장치 소유자로 위장해 응용 프로그램을 평가함으로써 수익을 얻고 있으며, 하루 3 만개 이상의 앱이 부적절하게 설치되고 있으며 설치 수는 200만을 넘어 섰다고.
체크 포인트 사는 Gooligan 발견 후 즉시 Google 보안 팀에 정보를 제공해 Google 계정이 침해되고 있는지를 확인하는 온라인 도구를 무료로 제공하고있다.
Google의 Android 보안 담당 책임자 인 아드리안 (Adrian Ludwig) 씨는 "Google은 Ghost Push 악성 코드 제품군에서 사용자를 보호하는 지속적인 노력의 일환으로 Android 에코 시스템 전체의 보안을 강화하는 다양한 대책을 실시하고있다 "고 말했다.
또한 Google은 피해를 입은 사용자에게 통지 토큰 비활성화와 Ghost Push 가족 관련 앱 Google Play에서 배제, Android 보안 메커니즘 "Verify Apps '에 기능 추가 등의 조치를 강구하고 있다고. 또한 Google 계정의 침해 여부를 확인하는 Gooligan 검사기는 여기 . 에서 할 수 있다.
체크 포인트의 모바일 리서치 팀은 2015 년에 부정한 SnapPea 응용 프로그램을 조사하고 있던 때 Gooligan 코드를 최초로 발견. 그 후 2016 년 8 월에 이 악성 코드의 새로운 변종이 출현하고 그 이후에는 하루 1 만 3000 대 이상의 장치가 감염 피해를 받고있는 상황이라고한다
감염된 장치의 약 57 %는 아시아 국가, 약 9 %는 유럽 국가에서 사용되고 있으며, 절취 된 이메일 주소 중 수백건은 세계 각국의 기업에서 사용되고있는 주소라고한다. 취약한 Android 탑재 장치에 Gooligan 감염 애플 리케이션을 다운로드하여 설치하거나 피싱을 목적으로하는 문자 메시지의 악성 링크를 클릭하면 감염 프로세스가 시작되고 있다고.
체크 포인트의 모바일 제품 담당 책임자 인 마이클 샤우로후 씨는 감염된 장치의 대응에 대해 "계정이 침해 된 경우, Android 탑재 장치의 운영 체제를 새로 설치해야합니다. 장치 전원을 끄고 클린 설치등 궁금한 사항이있는 경우 제조업체 나 이동 통신사에 확인하는 것이 좋습니다. "라고 말했다.
댓글