如何拿下Gooligan（一）：對Gooligan起源和工作原理的初步分析

2016年11月，安卓惡意軟體Gooligan席捲全球，利用OAuth竊取信息。Gooligan的特殊之處在於將OAuth token武器化，這在之前的網路犯罪中是前所未有的。Gooligan最多劫持了超過100萬的OAuth token來進行惡意應用商店的安裝和檢查。

Gooligan惡意軟體可以竊取存在漏洞的Android設備上存儲的電子郵件地址和身份驗證令牌。藉助這些信息，攻擊者可以劫持您的Google帳戶，並從Google應用（包括Gmail，Google相冊，Google文檔，Google Play，Google雲端硬碟和Google套件）訪問您的敏感信息。一旦含有Gooligan代碼的惡意軟體被安裝，那麼Gooligan會通過欺詐性購買、安裝來自Google Play商店的應用並為其評級，而且代替手機所有者提交app評論來為網路罪犯創造收入，同時惡意軟體還安裝廣告軟體以獲取其他的收入。

OAuth token

OAuth token是在不共享密碼的前提下授予應用和設備對在線賬號的有限的訪問許可權。比如，你可以通過OAuth token來允許app讀取Twitter的時間線，而不能改變其他的設定和發布的推文。

OAuth flow服務提供給app一個與你想要授權的許可權相關的OAuth token。當你登錄Google賬戶時，Google會給你的設備一個token允許設備以你的名義訪問Google服務。與之類似，但Gooligan竊取的是一種長期的token，這樣就可以在應用商店中偽裝成其他的用戶。

Gooligan概覽

Gooligan是由6大關鍵組件組成的，分別是：

·重新封裝的app。這是最初的payload，用一款流行的重新封裝的應用作為武器。該APK文件植入了第二階段隱藏或加密的payload。

·註冊伺服器。設備被root後會加入殭屍網路，註冊伺服器會記錄加入殭屍網路的設備信息。

·利用伺服器。利用伺服器是基於二階段payload傳遞root設備所需的伺服器。擁有設備信息是必須的，root後的過程是在手機恢復模式中加入後門。

·欺騙app和廣告C&C：這是負責收集泄露的數據和指示惡意軟體進行廣告投放的基礎設施。

·應用商店app模塊：這是允許惡意軟體通過應用商店app嚮應用商店發送命令的注入庫。這個複雜的過程是為了防止觸發應用商店的保護機制。

·廣告欺騙模塊。這是向用戶展示廣告的模塊，這些廣告都是善意的，而且找不到廣告公司的來源。

起源

分析Gooligan的代碼我們發現可以追蹤到之前的一些惡意軟體家族，因為Gooligan是基於他們的代碼庫的。雖然追蹤到的這些惡意軟體家族都與code-wise相關，但研究人員仍無法確定他們背後是不是同一幫人，因為很多的共享的特徵在博客上都有討論。

SnapPea

Gooligan的起源可以追溯到2015年3月的SnapPea廣告惡意軟體，SnapPea的主要創新點就在於將Kingroot工具武器化。Kingroot是用來root手機和刷寫ROM的工具。SnapPea Kingroot工具武器化後會導致一個不同尋常的感染單元：作者會用後門備份應用SnapPea來感染受害者。在安卓設備物理地與受感染設備連接後，惡意SnapPea應用會用Kingroot來root設備然後安裝惡意軟體。Gooligan是與SnapPea相關的，因為Gooligan也用Kingroot利用工具來root設備，但是是通過遠程伺服器的形式。

Ghost Push the role model

SnapPea出現幾個月後，研究人員發現了迅速成長的最大的安卓殭屍網路——Ghost Push。Ghost Push與SnapPea的區別在於增加了額外的代碼，可以在設備重置時也駐留在設備上。長期駐留是在獲取root許可權後用位於系統分區中的恢復腳本來完成的。這個原理和所用的代碼和Snappea是一樣的，

總結

Gooligan是一個基於之前惡意代碼的惡意軟體，並在之前的惡意軟體基礎上進行了更新和擴展，使用了一種新的攻擊類型——OAuth token theft。Gooligan是安卓惡意軟體發展史上的一個拐點，是第一個大規模的OAuth犯罪軟體。

下一部分內容是對Gooligan內部工作和網路基礎設施的深度分析，敬請期待。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！