Gooligan Android Malware compromete 1 millón de cuentas de Google. Gooligan está activo en 86 aplicaciones disponibles en los mercados de terceros y envía los datos sobre el dispositivo
De acuerdo con investigadores de la empresa de seguridad de Check Point Software Technologies, Gooligan está activo en 86 aplicaciones disponibles en los mercados de terceros. Una vez instalado, el malware utiliza enraizamiento para obtener acceso a los privilegios del sistema en dispositivos con Android 4.0 desde Ice Cream Sandwich para KitKat y Android 5.0 Lollipop. Android 4.0 y Android 5.0 combinado se están ejecutando en casi el 73 por ciento de los teléfonos inteligentes Android.
En el blog de Check Point escribieron, "La infección comienza cuando un usuario descarga e instala una aplicación Gooligan-infectada en un dispositivo Android vulnerables. Nuestro equipo de investigación ha encontrado aplicaciones infectadas en las tiendas de aplicaciones de terceros, pero también podría ser descargado por los usuarios de Android directamente con sólo pulsar enlaces maliciosos en mensajes de phishing de ataque. Después de instalar una aplicación infectada, envía los datos sobre el dispositivo con el servidor de la campaña de comando y control (C & C)".
El informe de Check Point señala que los dispositivos arraigados pueden descargar e instalar un software capaz de robar token de autenticación que permite móviles para acceder a cuentas y servicios de Google de los propietarios. Con Google token en el remolque, los piratas informáticos pueden acceder a los servicios de Google como Gmail, Google Fotos, Google Docs, Google Play.
"Después de lograr el acceso root, Gooligan descarga un nuevo módulo, maliciosa desde el servidor C & C y lo instala en el dispositivo infectado. En este módulo se inyecta código en funcionamiento Google Play o GMS (Google Mobile Services) para imitar usuario comportamiento para Gooligan puede evitar la detección, una técnica visto por primera vez con el malware móvil HummingBad el módulo permite a Gooligan.:
- 1. Roba cuenta de correo electrónico de Google del usuario y la información de autenticación de contadores
- 2. Instalar aplicaciones desde Google Play y la tasa de ellos para elevar su reputación
- 3. Instalar programas publicitarios para generar ingresos ".
Gooligan es una versión avanzada de 'GhostPush', una vasta colección de aplicaciones potencialmente dañinas disponibles fuera de Google Play.
En respuesta a esta amenaza, Adrian Ludwig, director de seguridad de Android, escribió en un blog, "En las últimas semanas, hemos trabajado en estrecha colaboración con Check Point, una empresa de seguridad cibernética, para investigar y proteger a los usuarios de una de estas variantes. Apodado 'Gooligan', esta variante se utiliza credenciales de Google en las versiones anteriores de Android para generar instalaciones fraudulentas de otras aplicaciones. esta mañana, Check Point detalla los hallazgos en su blog ".
Google dice que ha tomado muchas medidas para proteger a los usuarios y no ha encontrado pruebas de acceso a los datos de usuario o de orientación. Google siente que hay una necesidad de reforzar la seguridad ecosistema Android (que va a ser el caso de cualquier ecosistema) y es la eliminación de aplicaciones asociadas con la familia de empuje Santo desde Play Store.
