Androidマルウェア「Gooligan」横行、100万超のGoogleアカウントに不正アクセス

Gooligan感染するとAndroid端末のroot権限を取得されて認証トークンを盗まれ、Google PlayやGmailなどの主要Googleアカウントに不正アクセスされる恐れがある。

» 2016年12月01日 08時07分 公開
[鈴木聖子ITmedia]

 セキュリティ企業のCheck Point Software Technologiesは11月30日、Androidマルウェア「Gooligan」を仕込んだアプリがサードパーティーのアプリストアなどを通じて出回り、100万以上のGoogleアカウントが不正アクセスの被害に遭っていることが分かったと伝えた。被害に遭ったデバイスは1日に1万3000台のペースで増え続けているという。

 Check Pointのブログによると、Gooliganには感染した端末のroot権限を取得して、認証トークンを盗み出す機能があることが判明。攻撃者にこのトークンを使われれば、Google PlayやGmail、Google Photos、Google Docs、G Suite、Google Driveなどの主要Googleアカウントに不正アクセスされる恐れがある。

「Gooligan」攻撃の流れ(Check Pointより)

 今回不正アクセスの被害に遭った100万件のアカウントのうち、57%以上はアジアのユーザーのアカウントだった。GoogleではCheck Pointからの情報提供を受け、被害に遭ったアカウントへの通知や盗まれたトークンの無効化などの対策を勧めているという。

 GooliganはAndroid 4(Jelly Bean、KitKat)と5(Lollipop)に感染する恐れがあるといい、両バージョンを合わせると現在使われているAndroidの74%を占める。

 Check Pointの調査では、サードパーティーのAndroidアプリストアで正規のアプリに見せかけて提供されている数十本のアプリにGooliganのコードが仕込まれているのが見つかった。サードパーティーストアは正規のGoogle Playで販売されている有料アプリの無料版を入手できる場として魅力的に思えるかもしれないが、そうしたアプリのセキュリティは保証できないとCheck Pointは警告する。

 また、攻撃者がフィッシング詐欺などの手口を使ってユーザーに不正なリンクをクリックさせ、感染アプリをインストールさせる可能性も指摘している。

感染者の半数以上はアジアに(同)

 Gooliganに感染すると、端末に関する情報が攻撃者の制御サーバに送信され、Android 4と5の複数の脆弱性を突いてrootkitがダウンロードされる。これら脆弱性の修正パッチはAndroidのバージョンによっては提供されていないことがあるほか、ユーザーがインストールしていない場合もある。

 Android端末のroot権限を取得されれば、リモートの攻撃者が管理者権限でコマンドを実行できる状態になる。この状態でユーザーのGoogleメールアカウントや認証トークンの情報取得、Google Playからのアプリのインストールとレビュー評価の水増し、アドウェアのインストールといった攻撃が行われているという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ