注意：“超过100万Google帐户被Gooligan违反Check Point研究团队发布2016/11/30” 6小时前由eliowilson51在新闻报道

注意：“超过100万Google帐户被Gooligan违反Check Point研究团队发布2016/11/30”
6小时前由eliowilson51在新闻报道

“感染开始时用户下载并安装感染了Gooligan的应用程序”

“Gooligan违反了超过100万Google帐户”
由Check Point Research Team发布2016/11/30

“Gooligan”Android恶意软件感染13,000+设备一天，安装应用程序，叶假货评论“

根据互联网的最新新闻标题

小心应用程序和实现上的许可证

我真的不喜欢他们
只是耳朵另一个威胁

并且不要使用你的admin帐户特权帐户没有！

“Gooligan如何工作？

“感染开始时用户下载并安装感染了Gooligan的应用程序”

“当用户在易受攻击的Android设备上下载并安装Gooligan感染的应用程序时，感染开始。我们的研究小组在第三方应用商店上发现了感染的应用程序，但也可以由Android用户直接通过点击恶意链接网络钓鱼攻击信息在安装感染的应用程序后，它会将有关设备的数据发送到广告系列的命令和控制（C＆C）服务器。

然后Gooligan从C＆C服务器下载一个rootkit，利用多个Android 4和5漏洞，包括着名的VROOT（CVE-2013-6282）和Towelroot（CVE-2014-3153）。这些漏洞仍然困扰着今天的许多设备，因为修复它们的安全补丁可能不适用于某些版本的Android，或者补丁从来没有由用户安装。如果生成成功，攻击者可以完全控制设备，并可以远程执行特权命令。

在获得root访问权限后，Gooligan从C＆C服务器下载一个新的恶意模块，并将其安装在受感染的设备上。此模块将代码注入运行的Google Play或GMS（Google移动服务）中，以模仿用户行为，因此Gooligan可以避免检测，这是移动恶意软件HummingBad首次出现的技术。该模块允许Gooligan：

窃取用户的Google电子邮件帐户和身份验证令牌信息
安装来自Google Play的应用程式，并对其评分以提高声誉
安装广告软件以产生收入

广告伺服器不知道使用其服务的应用程式是否为恶意程式，请将要从Google Play下载的应用程式名称传送给Gooligan。安装应用程式后，广告服务会向攻击者支付费用。然后，恶意软件会使用从C＆C服务器接收的内容在Google Play上留下积极的评价和高评分。

我们的研究小组能够通过Google Play应用评论交叉引用来自违规设备的数据，从而确定此活动的几个实例。这是另一个提醒，为什么用户不应该仅仅依靠评分来决定是否信任一个应用程序。

gooligan1

用户留下的两个例子也被发现在攻击者的记录上作为受害者。

gooligan2

向其中一个欺诈性应用程序提供虚假评论和评论的示例。

gooligan3

同一个用户发现他的设备上安装了两个不同的欺诈应用程序，他不知道。

与HummingBad类似，恶意软件还伪装设备标识信息（例如IMEI和IMSI）两次下载应用程序，似乎安装正在不同的设备上进行，从而使潜在收入翻倍。

google4

Gooligan从Google Play下载的一个应用程式。
什么是Google授权令牌？

Google授权令牌是访问Google帐户和用户的相关服务的一种方式。一旦用户成功登录此帐户，就会由Google发布。

当授权令牌被黑客窃取后，他们可以使用此令牌访问与该用户相关的所有Google服务，包括Google Play，Gmail，Google文档，Google云端硬盘和Google相册。

虽然Google实施了多种机制（例如双因素身份验证），以防止黑客攻击Google帐户，但盗用的授权令牌会绕过此机制，并允许黑客在用户被视为已登录的情况下访问所需的权限。
结论

Gooligan已经超过了一百万个Google帐户。我们认为这是目前最大的Google帐户违规行为，我们正与Google合作继续调查。我们鼓励Android用户验证他们的帐户是否被违反。
附录A：Gooligan感染的假应用程序列表

text links:
join the discussion please thanks :D