Gooligan恶意软件已攻破一百多万谷歌账户

770K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3W2F1k6X3!0K6k6h3y4#2M7X3W2@1P5g2)9J5k6r3#2S2k6$3q4*7K9h3&6W2i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8X3N6G2L8$3I4A6k6$3q4F1i4K6u0V1L8h3q4D9N6$3q4J5k6g2)9J5k6r3u0J5k6h3q4U0K9r3g2K6i4K6u0V1x3h3#2Q4x3X3c8Y4L8$3!0Y4L8r3g2Q4x3V1j5`.
美国信息安全杂志新闻记者 塔拉·希尔斯

目前，一个复活的安卓恶意软件已经攻破了一百多万谷歌用户的账户，正以大约每天13000个设备的速度扩散。

软件评测点称此恶意软件为Gooligan，它能获取安卓设备的最高权限，窃取设备里存储的邮件地址和认证令牌。有了这些信息，入侵者就能获取用户在谷歌邮箱、谷歌相册、谷歌文档、谷歌市场以及谷歌套件中的敏感数据信息。

同时，它通过欺诈性手段让用户从谷歌市场安装手机应用并进行评价，能够为犯罪分子创造收益。每天，Gooligan恶意软件至少能在攻破的设备上安装3万个手机应用，到目前为止，共安装了200多万手机应用。更糟的是，其中大多数手机应用都属于幽灵推病毒。

Gooligan的目标设备是安卓4和安卓5。免疫性弱的安卓用户一旦下载并安装带有Gooligan病毒的手机应用，或者点击一些含钓鱼攻击信息的恶意链接，就会被感染。

“这就是下一阶段的网络攻击”评测点移动产品的领导迈克尔邵洛夫说，“我们可以看到黑客的策略转移，现在他们的目标是移动设备，目的是获取其中存储的敏感信息。”

谷歌安全团队已经与受影响的用户取得了联系，并且取消了他们的令牌，卸载了从谷歌市场里下载的与幽灵推相关的手机软件，给它的应用验证技术新增了保护措施。

“我们和软件评测点一起分析并解决这些问题，合作很愉快”谷歌的安卓安全主任阿德里安·路德维格说。“作为我们接下来任务的一部分，保护用户不受幽灵推恶意软件的攻击，我们已经采取了系列措施保护用户并且全面提高安卓生态系统的安全。”

阿尔山研究的副主席亚伦·林特说，对于移动手机应用提供商来说，这也是一个很大的教训。

“这个恶意软件会操控手机，并且说明了确认应用运行的手机环境的重要性”他在邮件中说道，“如果你的应用能够检测到那些能使终端用户易于受骗和受损的获取最高权限的漏洞利用，那么你的应用将会占优势。如果你的应用里面有遥测技术，那么风险保护措施就能发现设备被盗的用户。我们公司可以通过额外监控、密码，以及凭证撤销，甚至通过公示处于风险中的客户来作出响应。”

去年，评测点的手机研究团队在恶意应用豌豆荚中研究了Gooligan的密码。2016年8月，这个恶意软件以一种新的形式重新出现，并且带有致命病毒。在亚洲，目前已有40%的设备受到影响，在欧洲，这个数值是12%。

评测点提供了一个免费的在线工具，如果用户的账户被攻破了，他们可以进行检测。

“如果你的账户被攻破了，那么你的手机就需要重新安装一个清洁的操作系统了”邵洛夫说，“这个复杂的过程叫做“闪光”，我们建议你关机，找一个有认证的技术人员或者找到你的手机服务提供商，重闪你的手机设备。”

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课