A empresa de segurança Check Point revelou uma nova campanha de malware envolvendo o uso de aplicativos mal-intencionados para fazer root em dispositivos Android, roubar tokens de autenticação do Google e acumular ilegalmente números de instalação e revisar as pontuações de outros aplicativos.
O malware, apelidado de "Gooligan" pela Check Point, usa vulnerabilidades conhecidas para obter acesso root - controle completo - de dispositivos com Android 4.xe 5.x, antes de usá-lo para roubar nomes de contas do Google e tokens de autenticação. Isso permitiu que os autores instalassem remotamente outros aplicativos do Google Play nos dispositivos das vítimas e publicassem avaliações falsas em seus nomes.
Em teoria, malware como esse, projetado para roubar detalhes de autenticação, pode ter sido capaz de acessar outras áreas das contas do Google, como Gmail ou Fotos. Não há evidências de que o "Gooligan" tenha feito algo assim - parece que ele foi criado para ganhar dinheiro para seus criadores através de instalações ilegítimas de aplicativos.
O que chama a atenção nessa variedade de malware é o número de contas afetadas - mais de um milhão desde o início da campanha, de acordo com a Check Point. A maioria - 57% - dessas contas foi comprometida na Ásia, segundo a empresa. Em seguida foram as Américas, com 19%, a África, com 15%, e a Europa, com 9%. O Check Point criou um site onde você pode verificar se sua conta foi afetada; O Google também diz que está chegando a qualquer pessoa que tenha sido atingida.
Antes do anúncio público de hoje, o Google e a Check Point estão trabalhando juntos para melhorar a segurança do Android.
Agradecemos a pesquisa da Check Point e sua parceria, pois trabalhamos juntos para entender esses problemas ", disse Adrian Ludwig, diretor de segurança do Google do Google." Como parte de nossos esforços contínuos para proteger os usuários da família Ghost Push de malware, tomamos várias medidas para proteger nossos usuários e melhorar a segurança geral do ecossistema Android ".
A Check Point também observa que a tecnologia "Verify Apps" do Google foi atualizada para lidar com aplicativos que usam vulnerabilidades como essa. Isso é significativo porque, embora não ajude os dispositivos que já estão comprometidos, bloqueia futuras instalações em 92% dos dispositivos Android ativos, mesmo sem a necessidade de atualizações de firmware.
Como outras explorações baseadas em aplicativos, o recurso 'Verificar aplicativos' do Google agora protege 92% dos dispositivos ativos do 'Gooligan'.
"Verificar aplicativos" está integrado ao Google Play Services e ativado por padrão no Android 4.2 Jelly Bean - responsável por 92, 4% dos dispositivos ativos, com base nos números atuais. (Nas versões anteriores, ele pode ser ativado manualmente.) Como o resto dos serviços de reprodução, é atualizado regularmente em segundo plano, bloqueia a instalação de aplicativos mal-intencionados e pode aconselhar os usuários a desinstalar malwares que já existem.
Nas versões mais recentes do Android, as explorações subjacentes usadas pelo "Gooligan" para dispositivos raiz serão tratadas por meio de patches de segurança. Portanto, por mais significativo que pareça um milhão de contas comprometidas, este também é um exemplo da estratégia de segurança do Google para malware baseado em aplicativos, funcionando como projetado, bloqueando as instalações dos aplicativos afetados na grande maioria do ecossistema.
Se você estiver preocupado com a possibilidade de sua conta ter sido afetada, acesse o site da Check Point. No futuro, as salvaguardas existentes do Google - uma parte do Play Services nos últimos quatro anos - garantirão sua proteção.
Atualização: Adrian Ludwig, engenheiro líder do Google para segurança do Android, tem um extenso artigo sobre o histórico do anúncio "Googlian" de hoje e o que o Google está fazendo sobre isso no Google+.
