Gooligan: el malware ya ha infectado a 1 millón de dispositivos Android

Publicado el 01 diciembre 2016 por Moktar

Android lucha en su propio Stalingrado. Y no, la guerra no es contra iOS o contra Windows Phone, sino contra el malware. La firma de seguridad Check Point acaba de anunciar el día de hoy el descubrimiento de un nuevo tipo de malware: . Esta aplicación maliciosa, que forma parte de una campaña de malware a gran escala, trabaja rooteando los dispositivos que infecta e intercepta los tokens de autenticación de Google para luego instalar aplicaciones del Play Store para aumentar sus cifras de instalación y añadir puntuaciones fraudulentas.

Gooligan sólo funciona en algunas versiones de Android: Jelly Bean (4.x), KitKat (4.4) y Lollipop (5.x) -- ¿Que cómo se infecta uno con este malware? Verán: Gooligan ingresa al dispositivo al instalar una aplicación infectada fuera del Play Store. Gooligan es, a grandes rasgos, una variante de Ghost Push, un tipo de malware que ya fue neutralizado por Google el año pasado y que en su momento dio mucho que hablar, por lo que su funcionamiento es muy parecido... Luego de ser instalado por el usuario, la aplicación descarga inmediatamente un exploit (por ejemplo Towelroot) para ganar permisos de superusuario en el terminal y apoderarse de él.

Lo más alarmante de Gooligan es su repentina virulencia, lo que en gran parte es debido a la inmensa fragmentación que sufre Android debido al tema de las actualizaciones. Tal y como nos reporta el portal Android Police, Gooligan ha logrado comprometer más de 1 millón de dispositivos en apenas unos cuantos meses, y según estima la gente de la firma Check Point, cada día ocurren unas 13 mil infecciones, las cuales ocurren mayormente en continente asiático.

En teoría, este tipo de aplicaciones maliciosas (Ghost Push, Gooligan, etc...) están diseñadas para robar datos de autenticación y datos personales de los usuarios (de aplicaciones como Gmail, Google Fotos y demás...); pero según indican en Check Point, con Gooligan no parece ser este el caso. Ya que este malware se enfoca principalmente a la instalación fraudulenta de aplicaciones, generalmente basura. Y aunque más adelante a sus perpetradores se les ocurriese actualizar el código de Gooligan para que haga esto, no hay mucho ya de qué preocuparse...

El anuncio por parte de Google y Check Point nos revela que ambas compañías han unido fuerzas para mejorar el tema de la seguridad en Android; así lo expresó Adrian Ludwig, jefe de ingenieros de seguridad de Android:


Estamos muy agradecidos por las investigaciones y la colaboración que hemos recibido de parte de Check Point, ya que hemos trabajado conjuntamente para comprender estos problemas. Como parte de un esfuerzo continuo por proteger a los usuarios de la familia de malware Ghost Push, hemos tomado numerosos pasos adelante para [...] mejorar la seguridad del todo el ecosistema Android.

Check Point así mismo nos indicó que 'Verify Apps' acaba de ser actualizada para tratar con aplicaciones maliciosas como Gooligan. Esto es bueno a medias, porque si bien no puede hacer mucho por los dispositivos que ya han sido infectados, sí impedirá la instalación y propagación de Gooligan en el 92 por ciento restante de dispositivos sin necesidad de tener que actualizar el sistema operativo.

Verify Apps es una tecnología presente en los Servicios de Google Play y está habilitada por defecto a partir de Android 4.2 Jelly Bean, es decir, que está presente y funcionando en el 92.4% de todos los dispositivos Android, y vendría a ser una especie de cortafuegos. Al ser parte de los Servicios de Google Play, al igual este, se actualiza constantemente en segundo plano. Verify Apps bloquea la instalación de aplicaciones maliciosas o alerta a los usuarios a removerlas si ya están instaladas en el equipo. Ese momento en que te das cuenta que los Servicios de Google Play realmente sirven para algo.

Si te preocupa que tus cuentas de Google hayan sido afectadas, puedes consultarlo en la página de Check Point, la cual te dirá si han sido comprometidas por Gooligan. Si ha sido así, toca cambiar las contraseñas. Y ya no bajes aplicaciones piratas, pillín.