チェック・ポイント・ソフトウェア・テクノロジーズは12月1日、新たなAndroidマルウェアにより、100万件以上のGoogleアカウントがセキュリティ侵害を受けていることが判明したと発表した。
「Gooligan」と名付けられたマルウェア・キャンペーンは、Android搭載デバイスがroot化され、デバイスに保存されている電子メールアドレスと認証トークンが窃取され、攻撃者がこれらの情報を入手した場合、各種Googleサービス(Gmail、Googleフォト、Googleドキュメント、Google Play、Googleドライブ、G Suite)の重要情報に不正アクセスされる恐れがあるとしている。
攻撃の概要として、1日あたり1万3000台のデバイスが感染しており、100万台以上のデバイスがroot化された事例は今回の攻撃キャンペーンが初めてとなり、窃取された電子メールアドレスのうち、数百件は世界各国の企業で使われているアドレスだという。
Gooliganが標的としているのは、Android 4(Jelly Bean、KitKat)およびAndroid 5(Lollipop)で、両バージョンのシェアは現在、使用されているAndroid搭載デバイス全体の74%近くを占める。
デバイスを侵害した攻撃者は、Google Playのアプリを不正にインストールし、デバイス所有者を装いアプリを評価することで収益を得ており、1日当たり3万以上のアプリが不正にインストールされ、キャンペーン開始以降のインストール数は200万を超えている。
チェック・ポイントは、Gooliganを発見後、直ちにGoogleのセキュリティチームに情報提供し、Googleアカウントが侵害されているかどうかをチェックするオンライン・ツールを無償で提供している。
GoogleのAndroidセキュリティ担当責任者であるエイドリアン・ラドウィッグ(Adrian Ludwig)氏は「Googleでは、Ghost Pushマルウェア・ファミリーからユーザを保護する継続的な取り組みの一環として、Androidエコシステム全体のセキュリティを強化するさまざまな対策を実施しています」と述べている。
また、Googleは被害を受けたユーザへの通知、トークンの無効化、Ghost Pushファミリーに関連するアプリのGoogle Playからの排除、Androidのセキュリティ機構「Verify Apps」への機能追加などの措置を講じている。なお、Googleアカウントの侵害の有無を確認するGooliganチェッカーはこちら。
チェック・ポイントのモバイル・リサーチ・チームでは、2015年に不正なSnapPeaアプリを調査していたときにGooliganのコードを最初に発見。その後2016年8月に同マルウェアの新たな亜種が出現し、それ以降は1日あたり1万3000台以上のデバイスが感染被害を受けている状況だという
感染デバイスの約57%はアジア諸国、約9%はヨーロッパ諸国で使用されており、窃取された電子メール・アドレスのうち数百件は、世界各国の企業で使われているアドレスだという。脆弱性のあるAndroid搭載デバイスにGooligan感染アプリをダウンロードしてインストールするか、フィッシングを目的とするテキスト・メッセージの不正なリンクをクリックすると、感染プロセスが開始するとしている。
チェック・ポイントのモバイル製品担当責任者であるマイケル・シャウロフ氏は感染したデバイスの対応について「アカウントが侵害されていた場合は、Android搭載デバイスのオペレーティング・システムをクリーン・インストールする必要があります。デバイスの電源をオフにし、クリーン・インストールに不明点がある場合は、デバイスのメーカーまたはモバイル通信事業者へ確認することをお勧めします」と述べている。