1 Milyonun Üzerinde Google Hesabı Gooligan Tarafından Ele Geçirildi

Güvenlik araştırma ekipleri tarafından yapılan bir çok çalışma sonucunda, bugün yeni ve endişe verici bir malware kampanyası yayınladık. Gooligan adlı saldırı kampanyası, bir milyondan fazla Google hesabının güvenliğini ihlal etti. Bu rakam, her gün ek olarak 13.000 cihaz ihlal ederek artmaya devam ediyor.

Araştırmamız, malware’in Google Play, Gmail, Google Fotoğraflar, Google Dokümanlar, G Suite, Google Drive’dan gelen verilere erişebilmek için kullanılabileceği kimlik doğrulama belirteçlerini (authentication tokens) çaldığını ortaya çıkarmaktadır.

Gooligan, geçen yıl SnapPea uygulamasındaki araştırmacılarımız tarafından bulunan Android malware kampanyasının yeni bir varyasyonudur.

Check Point, bu kampanyayla ilgili bilgileri derhal Google Güvenlik ekibine ulaştırmıştır. Araştırmacılar, Gooligan’ın kaynağını araştırmak için Google ile yakın çalışmaktadır.

Google güvenlik direktörü Adrian Ludwig, “Bu sorunların anlaşılması için bizle birlikte çalışan Checkpoint’e araştırmalarından ve ortaklıklarından dolayı minnettarız” dedi. “Kullanıcıları Ghost Push ailesi malware’lerinden korumak için devam eden çabalarımızın bir parçası olarak, kullanıcılarımızı korumak ve genel olarak Android ekosisteminin güvenliğini artırmak için birçok adım attık.

Adrian Ludwig’in Gooligan hakkındaki tam açıklamasını okumak için buraya tıklayın.

Gooligan’la ilgili araştırmayı sürdürmek için güçleri birleştirmeyi seçtik. Google, etkilenen hesapları proaktif olarak bildirmek, etkilenen belirteçleri iptal etmek ve gelecekte kullanıcıları bu uygulamalardan korumak için SafetyNet iyileştirmelerini dağıtmak üzere çok sayıda adım attıklarını belirtti.

Kimler Etkilenmiştir?

Gooligan, potansiyel olarak Pazar içindeki cihazların %74’den fazlasını oluşturan Android 4 (Jelly Bean, KitKat) ve Android 5 (Lollipop) cihazları etkiliyor. Bu cihazların yaklaşık % 57’si Asya’da, % 9’u Avrupa’dadır.

Araştırmamızda bu malware’in onlarca sahte uygulamayla bulaştığını tespit ettik. Aşağıda Ek A’da listelenen uygulamalardan birini indirdiyseniz, sizin de cihazınıza virüs bulaşmış olabilir. Uygulama listenizi “Ayarlar -> Uygulamalar” bölümünde inceleyebilirsiniz; eğer bu uygulamalardan birini bulursanız, cihazınıza gerçekten virüs bulaştı mı diye kontrol etmek için Check Point ZoneAlarm gibi bir antivirüs ürünü indirmeyi düşünebilirsiniz.

Google Hesabınızın Gizliliğinin İhlal Edilip Edilmediğini Nerden Biliyorsunuz?

Oluşturduğumuz şu web sitesine erişerek hesabınızın tehlikede olup olmadığını kontrol edebilirsiniz. https://gooligan.checkpoint.com/

Hesabınız ihlal edilmişse, aşağıdaki adımları izlemeniz gereklidir:

  1. Mobil cihazınıza bir işletim sisteminin temiz bir şekilde yüklenmesi gerekiyor (“Flashing” adı verilen bir süreç). Bunun karmaşık bir işlem olması sebebiyle sertifikalı bir teknisyene veya mobil servis sağlayıcınıza başvurmanızı öneririz. Bu işlem cihazınızın “yeniden başlatılması” nı gerektirir.

2.Bu işlemden hemen sonra Google hesap şifrelerini değiştirin.

Android Cihazlara Nasıl Bulaşır?

Third-party Android uygulama mağazalarında onlarca yasal görünümlü uygulamada Gooligan malware kodunun izlerini bulduk. Bu mağazalarda, uygulamaların çoğu ücretsiz olduğu veya ücretli uygulamaların ücretsiz sürümleri sunulduğu için Google Play’e çekici bir alternatiftir. Ancak, bu mağazaların güvenliği ve sattıkları uygulamaların hepsi doğrulanmamıştır. Gooligan içeren uygulamalar, kullanıcılara virüslü uygulama bağlantılarını SMS veya diğer mesajlaşma servisleri aracılığıyla yayan saldırganlar tarafından, kimlik avı dolandırıcılığını kullanarak da yüklenebilir.

Gooligan Nasıl Ortaya Çıktı ?

Araştırmacılarımız, geçen yıl zararlı içerikli SnapPea uygulamasında Gooligan’ın koduyla karşılaştılar. Bu malware birkaç güvenlik üreticisi tarafından bildirildi ve Ghostpush, MonkeyTest ve Xinyinhe gibi farklı malware ailelerine dayandırıldı. 2015 yılının sonlarına gelindiğinde, malware yaratıcıları, malware kodlarını Android sistemine enjekte eden daha karmaşık bir mimari ile 2016 yılının yazında ortaya çıkana kadar sessiz kaldılar.

Malware’in günümüzdeki çalışma biçimindeki değişiklik, sahte reklam etkinliği yoluyla kampanyayı finanse etmeye yardımcı olabilir. Bu malware , yasal reklam ağları tarafından sağlanan uygulama reklamlarını simule eder ve uygulamanın bir cihaza yüklenmesini zorlar.

Check Point araştırmacıları tarafından toplanan kayıtlar, Gooligan’ın kampanya başladığından beri hergün, ihlal edilen cihazlarda veya 2 milyondan fazla uygulamada hileli olarak en az 30.000 uygulama yüklediğini gösteriyor.

Gooligan Nasıl Çalışır?

Bir kullanıcı Gooligan içeren bir uygulamayı indirip savunmasız bir Android cihaza yüklediğinde enfeksiyon başlıyor. Araştırma ekibimiz, third-party uygulama mağazalarında virüs bulaşmış uygulamalar buldu, ancak kimlik avı saldırısı mesajlarındaki kötü amaçlı bağlantılara dokunarak doğrudan Android kullanıcıları tarafından da indirilebiliyordu.Virüs bulaşmış bir uygulama yüklendikten sonra, cihazla ilgili verileri kampanyanın Komuta ve Kontrol (C & C) sunucusuna gönderir.

Gooligan, daha sonra bilinen VROOT (CVE-2013-6282) ve Towelroot (CVE-2014-3153) içeren birden fazla Android 4 ve Android 5 kullanımından yararlanan bir rootkit’i (işletim sisteminde arka planda çalışan gizli program veya programlar grubu) C & C sunucusundan indirir.

Bu istismarlar günümüzde birçok aygıtı hala rahatsız ediyor çünkü bunları düzelten güvenlik düzeltme eklerinin, bazı Android sürümleri için kullanılamayabildiği veya düzeltme eklerinin kullanıcı tarafından yüklenemediği söyleniyor. Rootkit başarılı olursa, saldırgan aygıtın tüm kontrolünü sağlayabilir ve komutları uzaktan çalıştırabilir.

Dizin köküne eriştikten sonra Gooligan yeni ve kötü amaçlı bir modülü C & C sunucusundan indirip aygıta kurar. Bu modül, kullanıcı davranışını taklit etmek için GMS’e (Google Mobil Servisler) veya Google Play’e kod ekler. Böylece Gooligan, mobil malware HummingBad ile algılanmaktan kaçabilir. Modül Gooligan’ın şunları yapmasını sağlar:

  • Bir kullanıcının Google e-posta hesabını ve kimlik doğrulama belirteci bilgilerini çalar
  • Google Play’den uygulamaları yükler ve itibarlarını yükseltmek için puan verir
  • Gelir sağlamak için reklam destekli yazılım yükler

Hizmetini kullanan bir uygulamanın zararlı olup olmadığını bilmeyen reklam sunucuları, Gooligan’a Google Play’den indirilecek uygulamaların adlarını gönderir. Bir uygulama yüklendikten sonra, reklam sunucusu saldırgana ödeme yapar. Ardından, malware, C & C sunucusundan aldığı içeriği kullanarak Google Play’de olumlu bir eleştiri ve yüksek bir puan bırakır.

Araştırma ekibimiz, Google Play uygulama değerlendirmeleri ile ihlal edilen cihazlardan gelen verileri çapraz referanslar yaparak bu etkinliğin çeşitli örneklerini tespit etmiştir. Bu, kullanıcıların bir uygulamaya güvenip güvenmeyeceğine karar vermek için neden yalnızca derecelendirmeye güvenmemesi gerektiği konusundaki hatırlatmalardan biridir.

HummingBad’e benzer şekilde bu malware de IMEI ve IMSI gibi cihaz tanımlama bilgisinin sahtesini yaparak, kurulum farklı bir cihazda gerçekleşiyormuş gibi iki kez bir uygulama indirip potansiyel geliri iki katına çıkarır.

Google Yetkilendirme Belirteçleri (Authentication Tokens) Nelerdir?

Google yetkilendirme belirteci, kullanıcının Google hesabına ve ilgili hizmetlerine erişmenin bir yoludur. Bir kullanıcı bu hesaba başarıyla giriş yaptığında Google tarafından bildirirlir.

Bir yetkilendirme belirteci bir hacker tarafından çalındığında, Google Play, Gmail, Google Docs, Google Drive, ve Google Photos gibi kullanıcıyla ilgili tüm Google hizmetlerine erişmek için bu simgeyi kullanabilirler.

Google, hacker’ın hesapları tehlikeye atmasını önlemek için iki faktörlü kimlik doğrulama gibi birden fazla mekanizma uygulasa da, çalınan bir yetkilendirme işareti kullanıcının zaten oturum açmış gibi algılandığı sırada bu mekanizmayı atlar ve hacker’a istenen erişimi sağlar.

Sonuç

Gooligan, bir milyondan fazla Google hesabını ihlal etmüştir ve biz bunun şimdiye kadarki en büyük Google hesabı ihlali olduğuna inanıyoruz. Bu araştırmayı sürdürmek için Google ile birlikte çalışıyoruz.

Android kullanıcılarına, hesaplarının ihlal edilip edilmediğini doğrulamalarını öneririz.

Ek A: Gooligan Enfekte Olan Uygulamaların Listesi

  • Perfect Cleaner
  • Demo
  • WiFi Enhancer
  • Snake
  • pev.zvh
  • Html5 Games
  • Demm
  • memory booster
  • แข่งรถสุดโหด
  • StopWatch
  • Clear
  • ballSmove_004
  • Flashlight Free
  • memory booste
  • Touch Beauty
  • Demoad
  • Small Blue Point
  • Battery Monitor
  • 清理大师
  • UC Mini
  • Shadow Crush
  • Sex Photo
  • 小白点
  • ajy.ics
  • Hip Good
  • Memory Booster
  • phone booster
  • SettingService
  • Wifi Master
  • Fruit Slots
  • System Booster
  • Dircet Browser
  • FUNNY DROPS
  • Puzzle Bubble-Pet Paradise
  • GPS
  • Light Browser
  • Clean Master
  • YouTube Downloader
  • KXService
  • Best Wallpapers
  • Smart Touch
  • Light Advanced
  • SmartFolder
  • youtubeplayer
  • Beautiful Alarm
  • PronClub
  • Detecting instrument
  • Calculator
  • GPS Speed
  • Fast Cleaner
  • Blue Point
  • CakeSweety
  • Pedometer
  • Compass Lite
  • Fingerprint unlock
  • PornClub
  • browser.provider
  • Assistive Touch
  • Sex Cademy
  • OneKeyLock
  • Wifi Speed Pro
  • Minibooster
  • so.itouch
  • fabullacop.loudcallernameringtone
  • Kiss Browser
  • Weather
  • Chrono Marker
  • Slots Mania
  • Multifunction Flashlight
  • So Hot
  • Google
  • HotH5Games
  • Swamm Browser
  • Billiards
  • TcashDemo
  • Sexy hot wallpaper
  • Wifi Accelerate
  • Simple Calculator
  • Daily Racing
  • Talking Tom 3
  • example.ddeo
  • Test
  • Hot Photo
  • QPlay
  • Virtual
  • Music Cloud

Kaynak: www.checkpoint.com

2017-03-16T21:59:12+00:00 December 11th, 2016|InfoSec|