Perusahaan keamanan Check Point telah mengungkapkan kampanye malware baru yang melibatkan penggunaan aplikasi jahat untuk me-root perangkat Android, mencuri token otentikasi Google dan secara tidak sah mengumpulkan nomor instalasi dan meninjau skor untuk aplikasi lain.
Malware, yang dijuluki "Gooligan" oleh Check Point, menggunakan kerentanan yang diketahui untuk mendapatkan akses root - kontrol penuh - perangkat yang menjalankan Android 4.x dan 5.x, sebelum menggunakannya untuk mencuri nama akun Google dan token otentikasi. Ini kemudian memungkinkan pelaku untuk menginstal aplikasi lain dari Google Play dari jarak jauh pada perangkat korban, dan memposting ulasan palsu atas nama mereka.
Secara teori, malware seperti ini, yang dirancang untuk mencuri detail otentikasi, mungkin telah dapat mengakses area lain dari akun Google, seperti Gmail atau Foto. Tidak ada bukti bahwa "Gooligan" melakukan hal seperti ini - sebaliknya, tampaknya dibuat untuk menghasilkan uang bagi penciptanya melalui pemasangan aplikasi yang tidak sah.
Apa yang mengejutkan tentang jenis malware ini adalah jumlah akun yang terpengaruh - lebih dari satu juta sejak kampanye dimulai, menurut Check Point. Mayoritas - 57 persen - dari akun ini dikompromikan di Asia, menurut perusahaan. Berikutnya adalah Amerika dengan 19 persen, Afrika dengan 15 persen, dan Eropa dengan 9 persen. Check Point telah menyiapkan situs tempat Anda dapat memeriksa apakah akun Anda terpengaruh; Google juga mengatakan itu menjangkau siapa pun yang mungkin terkena.
Menjelang pengumuman publik hari ini, Google dan Check Point telah bekerja sama untuk meningkatkan keamanan Android.
Kami menghargai penelitian Check Point dan kemitraan mereka karena kami telah bekerja bersama untuk memahami masalah ini, "kata Adrian Ludwig, direktur keamanan Android Google." Sebagai bagian dari upaya berkelanjutan kami untuk melindungi pengguna dari keluarga Ghost Push dari malware, kami telah mengambil banyak langkah untuk melindungi pengguna kami dan meningkatkan keamanan ekosistem Android secara keseluruhan."
Check Point juga mencatat bahwa teknologi "Verifikasi Aplikasi" Google telah diperbarui untuk menangani aplikasi yang menggunakan kerentanan seperti ini. Itu penting karena, meskipun tidak membantu perangkat yang sudah dikompromikan, itu menghalangi instalasi di masa depan pada 92 persen perangkat Android aktif, bahkan tanpa perlu pembaruan firmware.
Seperti eksploitasi berbasis aplikasi lain, fitur 'Verifikasi Aplikasi' Google sekarang melindungi 92 persen perangkat aktif dari 'Gooligan.'
"Verifikasi Aplikasi" dibangun ke dalam Google Play Services, dan diaktifkan secara default di Android 4.2 Jelly Bean - akuntansi untuk 92, 4 persen perangkat aktif, berdasarkan angka saat ini. (Pada versi yang lebih lama, ini dapat diaktifkan secara manual.) Seperti Layanan Play lainnya, ini secara teratur diperbarui di latar belakang, dan memblokir instalasi aplikasi berbahaya, dan dapat menyarankan pengguna untuk menghapus instalasi malware yang sudah ada di sana.
Pada versi Android yang lebih baru, eksploit mendasar yang digunakan oleh "Gooligan" ke perangkat root akan diatasi melalui tambalan keamanan. Jadi sepenting sejuta akun yang dikompromikan terdengar, ini juga merupakan contoh strategi keamanan Google untuk malware berbasis aplikasi yang berfungsi seperti yang dirancang, memblokir instalasi aplikasi yang terkena dampak di sebagian besar ekosistem.
Jika Anda khawatir bahwa akun Anda mungkin telah terpengaruh, Anda dapat membuka situs Check Point. Di masa depan, perlindungan Google yang ada - bagian dari Layanan Play selama empat tahun terakhir - akan memastikan Anda terlindungi.
Pembaruan: insinyur utama Google untuk keamanan Android, Adrian Ludwig, memiliki tulisan yang luas tentang latar belakang pengumuman "Googlian" hari ini, dan apa yang Google lakukan tentang hal itu, di Google+.
