Säkerhetsföretaget Check Point har avslöjat en ny kampanj för skadlig programvara som involverar användning av skadliga appar för att rota Android-enheter, stjäla Googles autentiseringstokens och olagligt racka upp installationsnummer och granska poäng för andra appar.
Den skadliga programvaran, som kallas "Gooligan" av Check Point, använder kända sårbarheter för att få root-åtkomst - fullständig kontroll - över enheter som kör Android 4.x och 5.x, innan de använder detta för att stjäla Google-kontonamn och autentiseringstokens. Detta gjorde det möjligt för förövarna att fjärrinstallera andra appar från Google Play på offrens enheter och publicera falska recensioner i deras namn.
I teorin kan skadlig programvara som denna, som är utformad för att stjäla autentiseringsinformation, ha kunnat komma åt andra områden i Google-konton, till exempel Gmail eller Foton. Det finns inga bevis för att "Gooligan" gjorde något liknande - istället verkar det som att det byggdes för att tjäna pengar för sina skapare genom olagliga appinstallationer.
Det som är slående med denna stam av skadlig programvara är antalet konton som drabbats - mer än en miljon sedan kampanjen inleddes, enligt Check Point. Majoriteten - 57 procent - av dessa konton komprometterades i Asien, enligt företaget. Därefter var Amerika med 19 procent, Afrika med 15 procent och Europa med 9 procent. Check Point har skapat en webbplats där du kan kontrollera om ditt konto påverkas. Google säger också att det når ut till alla som kan ha drabbats.
Inför dagens offentliga tillkännagivande har Google och Check Point arbetat tillsammans för att förbättra Android: s säkerhet.
Vi uppskattar både Check Points forskning och deras partnerskap eftersom vi har arbetat tillsammans för att förstå dessa problem, "sa Adrian Ludwig, Googles direktör för Android-säkerhet." Som en del av våra pågående ansträngningar för att skydda användare från Ghost Push-familjen i skadlig programvara, vi har vidtagit flera åtgärder för att skydda våra användare och förbättra säkerheten för Android-ekosystemet totalt sett."
Check Point noterar också att Googles teknik "Verifiera appar" har uppdaterats för att hantera appar som använder sårbarheter som denna. Det är betydelsefullt, även om det inte hjälper enheter som redan är komprometterade, blockerar det framtida installationer på 92 procent av aktiva Android-enheter, även utan behov av uppdateringar av firmware.
Liksom andra appbaserade exploater skyddar Googles funktion "Verify Apps" nu 92 procent av de aktiva enheterna från "Gooligan."
"Verify Apps" är inbyggt i Google Play Services och aktiveras som standard i Android 4.2 Jelly Bean - står för 92, 4 procent av de aktiva enheterna, baserat på nuvarande nummer. (På äldre versioner kan den aktiveras manuellt.) Liksom resten av Play Services uppdateras den regelbundet i bakgrunden och den blockerar installationen av skadliga appar och kan råda användare att avinstallera skadlig programvara som redan finns där.
På nyare versioner av Android kommer de underliggande utnyttjandena som används av "Gooligan" till rotenheter att ha åtgärdats genom säkerhetsuppdateringar. Så lika viktigt som en miljon komprometterade konton låter, detta är också ett exempel på Googles säkerhetsstrategi för app-baserad skadlig programvara som fungerar som utformad, vilket blockerar installationer av berörda appar i det stora flertalet av ekosystemet.
Om du är orolig för att ditt konto kan ha påverkats kan du slå till Check Points webbplats. I framtiden garanterar Googles befintliga skyddsåtgärder - en del av Play Services under de senaste fyra åren - att du är skyddad.
Uppdatering: Googles ledande ingenjör för Android-säkerhet, Adrian Ludwig, har en omfattande nedskrivning på bakgrund av dagens "Googlian" -meddelande, och vad Googles gör åt det, på Google+.
