보안 회사 Check Point는 악성 앱을 사용하여 Android 기기를 루팅하고 Google 인증 토큰을 도용하며 설치 번호를 불법으로 쌓아 올리고 다른 앱의 점수를 검토하는 새로운 악성 코드 캠페인을 공개했습니다.
Check Point에서 "Gooligan"이라고하는이 악성 코드는 알려진 취약점을 사용하여 Android 4.x 및 5.x를 실행하는 기기에 대한 루트 액세스 권한 (완전한 제어)을 확보 한 후이를 사용하여 Google 계정 이름 및 인증 토큰을 훔칩니다. 이를 통해 가해자는 피해자의 기기에 Google Play의 다른 앱을 원격으로 설치하고 자신의 이름으로 잘못된 리뷰를 게시 할 수있었습니다.
이론적으로 인증 세부 정보를 훔치기 위해 설계된 이와 같은 맬웨어는 Gmail 또는 사진과 같은 Google 계정의 다른 영역에 액세스 할 수 있습니다. "Gooligan"이 이와 같은 일을했다는 증거는 없습니다. 대신 불법 앱 설치를 통해 제작자에게 돈을 벌기 위해 만들어진 것 같습니다.
Check Point에 따르면이 멀웨어 변종이 눈에 띄는 것은 캠페인이 시작된 이후 백만 개가 넘는 영향을받는 계정의 수입니다. 회사에 따르면이 계정의 대다수 (57 %)가 아시아에서 도용되었다고합니다. 다음은 아메리카가 19 %, 아프리카가 15 %, 유럽이 9 %였습니다. Check Point는 계정이 영향을 받는지 확인할 수있는 사이트를 설정했습니다. 구글은 또한 공격을 받았을 가능성이있는 사람에게 다가 가고 있다고 말합니다.
오늘 공개 발표에 앞서 Google과 Check Point는 Android의 보안을 개선하기 위해 협력하고 있습니다.
구글의 안드로이드 보안 책임자 인 애드리안 루드비히 (Adrian Ludwig)는“우리는 이러한 문제를 이해하기 위해 함께 노력한 Check Point의 연구와 파트너십에 감사한다. Google은 사용자를 보호하고 전체적으로 Android 생태계의 보안을 개선하기 위해 수많은 조치를 취했습니다."
Check Point는 또한 Google의 "앱 확인"기술이 이와 같은 취약점을 사용하는 앱을 처리하도록 업데이트되었습니다. 이미 손상된 장치는 도움이되지 않지만 펌웨어 업데이트 없이도 활성 Android 장치의 92 %에서 향후 설치를 방해 할 수 있기 때문에 중요합니다.
다른 앱 기반 익스플로잇과 마찬가지로 Google의 '앱 확인'기능은 이제 'Gooligan'으로부터 활성 장치의 92 %를 보호합니다.
"앱 확인"은 Google Play 서비스에 내장되어 있으며 Android 4.2 Jelly Bean에서 기본적으로 사용하도록 설정되어 현재 숫자를 기준으로 활성 장치의 92.4 %를 차지합니다. (이전 버전에서는 수동으로 활성화 할 수 있습니다.) 다른 Play 서비스와 마찬가지로 백그라운드에서 정기적으로 업데이트되며 악성 앱 설치를 차단하고 이미 존재하는 맬웨어를 제거하도록 사용자에게 조언 할 수 있습니다.
최신 버전의 Android에서는 "Gooligan"이 루트 장치에 사용하는 기본 공격이 보안 패치를 통해 해결되었습니다. 따라서 백만 건의 손상된 계정이 들리는 것처럼 이것은 대다수의 생태계에서 영향을받는 앱의 설치를 차단하여 설계된대로 작동하는 앱 기반 맬웨어에 대한 Google의 보안 전략의 예이기도합니다.
귀하의 계정이 영향을 받았다고 우려되는 경우 Check Point 사이트를 방문하십시오. 향후 4 년 동안 Play 서비스의 일부인 Google의 기존 보호 기능을 통해 안전하게 보호 할 수 있습니다.
업데이트: Google의 Android 보안 담당 수석 엔지니어 인 Adrian Ludwig는 오늘 "Googlian"발표의 배경과 Google+에서 Google이하는 일에 대한 광범위한 글을 작성했습니다.
