ニュース

マルウェア「Gooligan」、100万件以上のGoogleアカウントを侵害

アジア圏のユーザーが57%、Google Playからアプリを不正インストールし、レビューで収益

 チェック・ポイント・ソフトウェア・テクノロジーズ株式会社は1日、Android 5以前を標的とするマルウェア「Gooligan」により、100万件以上のGoogleアカウントが侵害されていることを発表した。アカウントが侵害されていた場合は、端末のAndroid OSをクリーンインストールする必要がある。チェック・ポイントではGoogleアカウントが侵害されているかどうかをチェックできるオンラインツールを無償提供している。

 Gooliganを含む不正なアプリは、サードパーティーのAndroidアプリストアを通じて配布されているほか、フィッシングを目的とするテキストメッセージに含まれた不正なリンクをクリックすることでも感染する。チェックポイントでは、把握しているGooliganを含む不正なアプリ86本のリストを英文のブログで公開している。

 Gooliganに感染すると、端末情報が攻撃者のC&Cサーバーに送信され、Android 5(Lollipop)やAndroid 4.1~4.3(Jelly Bean)、Android 4.4(KitKat)に存在している「VROOT」の名称で知られる脆弱性(CVE-2013-6282)と「Towelroot」と呼ばれる脆弱性(CVE-2014-3153)を利用するルートキットをダウンロードする。その後、端末のroot権限が奪取され、メールアドレスと認証トークンが窃取される。これにより、Gmail、Googleフォト、Googleドキュメント、Google Play、Googleドライブ、G Suiteといった各Googleサービスに不正アクセスされる可能性がある。

 攻撃対象となるのは、利用されている端末全体の74%近くに上り、脆弱性が修正されているAndroid 6.0(Marshmallow)以降のユーザーは、Googleによれば24%ほどしかいない。

 チェック・ポイントによれば、Gooliganは、2015年に1日あたり60万件の感染が報告された「Ghost Push」の亜種で、8月に出現したとのこと。1日あたり1万3000台の端末が感染しており、100万台以上のデバイスがroot化された事例は初。このうち57%以上がアジア圏のユーザーとなる。

 攻撃者は、Google Playを通じてアプリを不正にインストールし、ユーザーを装ってアプリの評価を行うことで収益を得ているという。攻撃が開始されて以降、1日あたり3万のアプリがGoogle Playを通じて不正にインストールされ、累積では200万超に達していると推測される。また、窃取されたメールアドレスのうち数百件は、世界各国の企業で使われているものとのこと。

 Googleでは、チェック・ポイントの報告を受け、被害を受けたユーザーへ通知するとともにトークンを無効化している。また、Gooliganを含むGhost Pushファミリーに関連したアプリをGoogle Playから排除している。このほか、Androidのセキュリティ機構「Verify Apps」への機能追加などの措置を講じているという。