Nos las prometíamos felices pensando que no aparecería ningún otro malware antes de acabar el año, que estaba ya todo bien asegurado y que no sería hasta el 2017 cuando conoceríamos a más enemigos amenazando a nuestros smartphones. Pues nos equivocamos, y un malware llamado Gooligan ha asomado la cabeza para desearnos feliz año nuevo un mes antes de la fecha.
Hasta la fecha se estima que este malware ha comprometido un total de un millón de cuentas de Google que se encuentran en nuestros dispositivos móviles. Según Check Point Software Technologies, Gooligan se ha encontrado en 86 aplicaciones infectadas en varios mercados de aplicaciones de terceros (es decir, mercados de apps que no son Google Play).
Este malware se aprovecha, además, de la fragmentación, ya que funciona exclusivamente en las versiones 4 (Ice Cream Sandwich, Jelly Bean y KitKat) y 5 (Lollipop) de Android, es decir, la mayoría de usuarios Android, lo que saca a relucir todavía más la fragmentación existente por la dejadez de los fabricantes a la hora de dar soporte.
¿Cómo funciona Gooligan?
Es posible que la forma en que funciona Gooligan te suene de algún otro malware, pero sigue siendo efectiva, al menos sobre el papel. De su peligrosidad hablaremos dentro de unas líneas, de momento vamos a centrarnos en cómo funciona. El primer paso es que el usuario, sin querer, descargue una app infectada por Gooligan de una tienda externa.
Una vez instalada la app, el malware envía datos del dispositivo a unos servidores de Command & Control, tras lo cual** descarga varias aplicaciones para rootear el dispositivo** (entre las que se encuentra la famosa Toweroot). En el caso de que el proceso tenga éxito, entonces Gooligan pasará a la siguiente fase.
En esta nueva fase, el malware descargará módulos maliciosos de los servidores que hará que puedan esquivar las verificaciones de Google. A partir de aquí, el atacante puede robar información de la cuenta de Google del usuario, instalar apps de Google Play y darles calificaciones altas o instalar 'adware' para generar ingresos.
Éste último, el adware, envía a Gooligan el nombre de las apps que debe descargar de Google Play sin saber que se trata de un ataque malicioso y, una vez instalada la app, el servicio de anuncios paga al atacante, tras lo cual el malware deja un comentario positivo acerca de la aplicación en Google Play.
Pero parece que Gooligan no ha mordido todavía
A pesar de lo molesto de este malware, el ingeniero de seguridad de Android, Adrian Ludwig, dijo que él y otros funcionarios de Google llevan semanas trabajando mano a mano con Check Point para investigar a Gooligan y proteger a los usuarios de las molestias que este malware podría causarles en un futuro cercano.
También asegura que no hay pruebas de que se haya accedido a los datos de las cuentas comprometidas o de que usuarios individuales fueran objetivo de estos ataques. Al parecer, la verificación de aplicaciones ha prevenido estos ataques al escanear dispositivos y, una vez detectada la app infectada, el usuario sería avisado y la instalación se pararía.
Si eres de los que tienen la versión 4 o 5 de Android y quieres saber si tu cuenta se ha visto comprometida, puedes visitar esta web en la que, tras introducir la cuenta asociada a tu móvil, te dirá si estás o no en riesgo. No obstante, siempre recomendamos precaución y tratar de no descargar apps de fuera de Google Play si la web no es de tu absoluta desconfianza.
En este caso, aunque no se tengan datos acerca de que Gooligan haya hecho de las suyas, no quiere decir que no haya tenido éxito o lo pueda tener en el futuro. Ahora que ya conoces este nuevo malware, está en tus manos ayudar, con tus acciones, a que Gooligan no suponga un peligro real.
Vía | Ars TechnicaEn Xataka Android | El malware Dresscode se cuela en 40 aplicaciones en Google Play
Ver todos los comentarios en https://www.xatakandroid.com
VER 2 Comentarios