Gooligan

اگر شما صاحب یک گوشی هوشمند دارای سیستم‌عامل اندروید هستید، مراقب باشید. یک بدافزار اندرویدی جدید که در حال حاضر به بیش از ۱ میلیون حساب کاربری گوگل نفوذ کرده است، بیش از ۱۳٫۰۰۰ دستگاه را در طول یک روز آلوده می‌کند.

این بدافزار که Gooligan نامیده شده است، آدرس‌های پست الکترونیکی و کدهای تأیید اعتبار(۱) ذخیره شده در دستگاه‌های اندروید را می‌دزدد.

با در اختیار داشتن این اطلاعات، مهاجمان می‌توانند حساب کاربری گوگل شما را مورد حمله قرار داده و به اطلاعات حساس شما از طریق Google apps مانند Gmail ،Google Photos ،Google Docs ،Google Play ،Google Drive و G Suite دسترسی پیدا کنند.

محققان رد پایی از کد Gooligan در دوازده نرم‌افزار اندرویدی legitimate-looking بر روی فروشگاه‌های نرم‌افزار شخص ثالث(۲) پیدا کرده‌اند که اگر توسط کاربر دانلود و نصب شود، این بدافزار شروع به فرستادن اطلاعات دستگاه شما به سرورفرمان و کنترل(۳) خود می‌کند.

محققان در blog post می‌گویند[۱]: “در مرحله بعد، Gooligan یک rootkit از سرور C&C دانلود کرده که از چندین بهره‌بردار اندروید ۴ و ۵ شامل VROOT (CVE-2013-6282) و Towelroot (CVE-2014-3153) استفاده می‌کند. اگر عملیات root کردن موفقیت‌آمیز باشد، مهاجم کنترل کامل دستگاه را به دست می‌گیرد و می‌تواند دستوراتی با امتیازات ویژه(۴) را از راه دور اجرا کند.”

بر طبق نظرات محققان امنیتی شرکت CheckPoint که این بدافزار را کشف کرده‌اند، کسانی که از نسخه‌های قدیمی اندروید، شامل اندروید ۴ (Jelly Bean و KitKat) و ۵ (Lollipop)، استفاده می‌کنند، که بیش از ۷۴ درصد دستگاه‌های اندرویدی در سرتاسر جهان از این نسخه‌ها استفاده می‌کنند، بیشتر در معرض خطر این حمله قرار دارند.

همچنین محققان می‌گویند: “امروزه این آسیب‌پذیری‌ها همچنان بسیاری از دستگاه‌ها را تحت تأثیر قرار می‌دهند چراکه وصله‌های امنیتی که این مشکلات را برطرف می‌کنند ممکن است برای بعضی از نسخه‌های اندروید منتشر نشده باشد یا اینکه هیچ‌گاه توسط کاربر اعمال نشوند.”

Gooligan علاوه بر مورد حمله قرار دادن هر دستگاهی که دارای سیستم‌عامل اندروید است، درآمدهایی را برای مجرمان سایبری توسط خرید و نصب نرم‌افزارها از فروشگاه Google Play و امتیاز دادن و نوشتن نقد برای آن‌ها از طرف صاحب گوشی، تولید می‌کند.

چگونه بررسی کنید که حساب کاربری گوگل شما در معرض خطر این بدافزار قرار گرفته است؟

شرکت Check Point یک ابزار آنلاین را برای بررسی اینکه دستگاه اندروید شما توسط بدافزار Gooligan آلوده شده است یا نه، منتشر کرده است. کافیست تنها Gooligan Checker [2] را باز کنید و آدرس پست الکترونیکی مربوط به حساب کاربری گوگل خود را وارد کنید تا بفهمید آیا مورد حمله قرار گرفته‌اید یا نه.

اگر فهمیدید که حساب کاربری شما آلوده شده است، Adrian Ludwig، مدیر بخش امنیتی اندروید گوگل به شما پیشنهاد می‌دهد که یک سیستم‌عامل تمیز بر روی دستگاه اندرویدی خود نصب کنید.

این فرآیند “Flashing” نام دارد که فرآیندی کاملاً پیچیده است؛ بنابراین، این شرکت به شما پیشنهاد می‌دهد که دستگاه خود را خاموش کرده و به یک متخصص فنی تصدیق شده یا تأمین‌کننده اصلی سرویس موبایل خود مراجعه کنید تا دستگاه خود را re-flash کنید.

 

منابع

[۱] http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan

[۲] https://gooligan.checkpoint.com/

[۳] http://thehackernews.com/2016/11/hack-google-account.html


(۱) Authentication Tokens
(۲) ۳rd-party
(۳) C&C
(۴) privileged commands