CheckPoint ha anunciado una nueva campaña de malware, que bajo el nombre de Gooligan ha comprometido más de un millón de cuentas de Google, y continúa creciendo a un ritmo de 13.000 dispositivos infectados al día. 

Este malware no es nuevo, en realidad procede de una mezcla de varios anteriores, tales como GhostPush, Kemoge, HummingBad, sólo que esta vez ha llegado un poco más lejos con la combinación de distintos tipos de ataques. Check Point reconoce en su artículo que procede de una campaña de malware previa que tuvo su momento de gloria a finales del año 2015 y que se incluía en una versión maliciosa de la aplicación de backups SnapPea.

Gooligan afecta a dispositivos con Android 4 (Jelly Bean, KitKat) y 5 (Lollipop), lo que actualmente representa más de un 74% de los dispositivos actuales de los registrados en el market de Google. Calculan que el 9% de estos dispositivos infectados están en Europa y un 19% en América.

La infección comienza cuando un usuario descarga e instala una aplicación infectada por Gooligan en un dispositivo Android. Esta instalación se puede producir de diferentes maneras: desde correos basura (scam) invitando al usuario a probar una nueva aplicación, hasta en “markets” no oficiales. Tras la instalación de la aplicación infectada, ésta envía información del dispositivo al servidor punto de control (C&C del inglés Command&Control) de la campaña.

Tras esto, Gooligan descarga un rootkit del servidor C&C, lo instala en el dispositivo y lo ejecuta. Este rootkit aprovecha múltiples vulnerabilidades en Android 4 y 5 incluyendo las ya conocidas VROOT (CVE-2013-6282) y Towelroot (CVE-2014-3153). Estas vulnerabilidades, a pesar de tener más de tres años, siguen estando sin parchear en muchos dispositivos actuales dada la dificultad e incluso imposibilidad de actualizar muchos dispositivos. Si el exploit tiene éxito, el atacante tendrá control total del dispositivo y podrá ejecutar comandos con privilegios de forma remota.

Después de conseguir el acceso root, Gooligan descarga e instala un nuevo módulo malicioso del servidor C&C. Este módulo se inyecta en la ejecución de Google Play o GMS (Google Mobile Services) para imitar el comportamiento del usuario y evitar su detección.

Este nuevo módulo permite:

  • Robar la cuenta de correo electrónico de Google del usuario y la información del token de autenticación
  • Instalar aplicaciones de Google Play y calificarlas para aumentar su reputación
  • Instalar adware para generar ingresos

Cabe decir que la instalación de adware para generar ingresos se intenta conseguir a través del bombardeo al usuario con una técnica conocida como “drive-by-download”. Esta consiste en indicar al usuario que debe descargar una aplicación/archivo pero sin dejar muy claro para qué. Con esto el malware se lucra a base de publicidad.

El token de autenticación de Google tiene una función clave. Este se asigna al usuario una vez se identifica en su cuenta de Google y con él se pueden realizar casi la mayoría de acciones relacionadas con los servicios del mismo. Ya se observó el mismo comportamiento en otras familias anteriormente (HummingBad) y el objetivo principal era votar aplicaciones positivamente en Google Play y comentarlas. En este caso sucede lo mismo.

Check Point pone a disposición de los usuarios un sitio web en el que comprobar si la cuenta Google ha sido comprometida por Gooligan: https://gooligan.checkpoint.com/.

Más información:

Fuente: Hispasec

Anuncios