CheckPoint ha anunciado una nueva campaña de malware, que
bajo el nombre de Gooligan ha comprometido más de un millón de cuentas de
Google, y continúa creciendo a un ritmo de 13.000 dispositivos infectados al
día.
Recursos afectados
- Gooligan afecta a dispositivos con Android 4 (Jelly Bean, KitKat) y 5 (Lollipop), lo que actualmente representa más de un 74% de los dispositivos actuales de los registrados en el market de Google. Calculan que el 9% de estos dispositivos infectados están en Europa y un 19% en América.
Detalle del ataque
- La infección comienza cuando un usuario descarga e instala una aplicación infectada por Gooligan en un dispositivo Android. Esta instalación se puede producir de diferentes maneras: desde correos basura (scam) invitando al usuario a probar una nueva aplicación, hasta en "markets" no oficiales. Tras la instalación de la aplicación infectada, ésta envía información del dispositivo al servidor punto de control (C&C del inglés Command&Control) de la campaña.
- Tras esto, Gooligan descarga un rootkit del servidor C&C, lo instala en el dispositivo y lo ejecuta. Este rootkit aprovecha múltiples vulnerabilidades en Android 4 y 5 incluyendo las ya conocidas VROOT (CVE-2013-6282) y Towelroot (CVE-2014-3153). Estas vulnerabilidades, a pesar de tener más de tres años, siguen estando sin parchear en muchos dispositivos actuales dada la dificultad e incluso imposibilidad de actualizar muchos dispositivos. Si el exploit tiene éxito, el atacante tendrá control total del dispositivo y podrá ejecutar comandos con privilegios de forma remota.
- Robar la cuenta de correo electrónico de Google del usuario y la información del token de autenticación
- Instalar aplicaciones de Google Play y calificarlas para aumentar su reputación
- Instalar adware para generar ingresos
El token de autenticación de Google tiene una función clave. Este se asigna al usuario una vez se identifica en su cuenta de Google y con él se pueden realizar casi la mayoría de acciones relacionadas con los servicios del mismo. Ya se observó el mismo comportamiento en otras familias anteriormente (HummingBad) y el objetivo principal era votar aplicaciones positivamente en Google Play y comentarlas. En este caso sucede lo mismo.
Check Point pone a disposición de los usuarios un sitio
web en el que comprobar si la cuenta Google ha sido comprometida por Gooligan:
https://gooligan.checkpoint.com/.
Más información:
- More Than 1 Million Google Accounts Breached by
Gooligan http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/