Más de 1 millón de cuentas de Google violadas por Gooligan

351
Gooligan

Quiza estas afectado de este malware

Como resultado de mucho trabajo realizado por nuestros equipos de investigación de seguridad, hemos revelado hoy una nueva y alarmante campaña de malware Gooligan. La campaña de ataque, llamada Gooligan, violó la seguridad de más de un millón de cuentas de Google. El número continúa aumentando en un adicional de 13.000 dispositivos violados cada día.

Nuestra investigación expone cómo las raíces de malware infectan dispositivos y roban fichas de autenticación que pueden utilizarse para acceder a datos de Google Play, Gmail, Google Fotos, Google Docs, G Suite, Google Drive y más.

Gooligan es una nueva variante de la campaña de malware de Android encontrada por nuestros investigadores en la aplicación SnapPea el año pasado.

Check Point contactó inmediatamente con el equipo de seguridad de Google con información sobre esta campaña. Nuestros investigadores están trabajando estrechamente con Google para investigar la fuente del Gooligan Campaña.

“Apreciamos tanto la investigación de Check Point como su asociación, ya que hemos trabajado juntos para entender estos problemas”,

dijo Adrian Ludwig, director de seguridad de Android de Google. “Como parte de nuestros esfuerzos en curso para proteger a los usuarios de la familia Ghost Push de malware, hemos tomado numerosas medidas para proteger a nuestros usuarios y mejorar la seguridad del ecosistema de Android en general”.

Estamos muy alentados por la declaración de Google compartida con nosotros abordando el tema. Hemos elegido unir fuerzas para continuar la investigación alrededor de Gooligan. Google también declaró que está tomando numerosos pasos, incluyendo la notificación proactiva de las cuentas afectadas, la revocación de los tokens afectados y el despliegue de las mejoras de SafetyNet para proteger a los usuarios de estas aplicaciones en el futuro.

En las siguientes secciones, proporcionamos más respuestas con respecto a la campaña.

¿Quién está afectado?

Gooligan afecta potencialmente a los dispositivos de Android 4 (Jelly Bean, KitKat) y 5 (Lollipop), que hoy es más del 74% de los dispositivos del mercado. Alrededor del 57% de estos dispositivos se encuentran en Asia y cerca del 9% se encuentran en Europa.

En nuestra investigación identificamos decenas de aplicaciones falsas que estaban infectadas con este malware. Si ha descargado una de las aplicaciones enumeradas en el Apéndice A, a continuación, podría estar infectado. Si encuentra alguna de estas aplicaciones, considere la posibilidad de descargar un producto antivirus como Check Point ZoneAlarm para comprobar si está realmente infectado.

Hemos observado que cientos de direcciones de correo electrónico están asociadas con cuentas empresariales de todo el mundo.

¿Cómo sabes si se infringe tu cuenta de Google?

Puede comprobar si su cuenta está comprometida accediendo al siguiente sitio web que creamos: https://gooligan.checkpoint.com.

Si su cuenta ha sido violada, se requieren los siguientes pasos:

  1. Se requiere una instalación limpia de un sistema operativo en su dispositivo móvil (un proceso llamado “intermitente”). Como se trata de un proceso complejo, le recomendamos que apague el dispositivo y se acerque a un técnico certificado oa su proveedor de servicios móviles para solicitar el dispositivo.
  2. Cambie las contraseñas de su cuenta de Google inmediatamente después de este proceso.

Gooligan

¿Cómo se infectan los dispositivos Android?

Encontramos rastros del código de malware de Gooligan en docenas de aplicaciones de aspecto legítimo en tiendas de aplicaciones para Android de terceros. Estas tiendas son una alternativa atractiva a Google Play porque muchas de sus aplicaciones son gratuitas o ofrecen versiones gratuitas de aplicaciones pagadas. Sin embargo, la seguridad de estas tiendas y las aplicaciones que venden no siempre se verifican. Las aplicaciones infectadas con Gooligan también se pueden instalar mediante estafas de phishing donde los atacantes transmiten enlaces a aplicaciones infectadas a usuarios que no confían en ellos a través de SMS u otros servicios de mensajería.

¿Cómo surgió Gooligan?

Nuestros investigadores encontraron por primera vez el código de Gooligan en la maliciosa aplicación SnapPea el año pasado. En el momento en que este malware fue reportado por varios proveedores de seguridad, y atribuido a diferentes familias de malware como Ghostpush, MonkeyTest y Xinyinhe. A finales de 2015, los creadores de malware habían permanecido en su mayoría silenciosos hasta el verano de 2016, cuando el malware reapareció con una arquitectura más compleja que inyecta código malicioso en los procesos del sistema Android.Gooligan

El cambio en la manera en que funciona el malware hoy en día puede ser para ayudar a financiar la campaña a través de actividades publicitarias fraudulentas. El malware simula clics en anuncios de aplicaciones proporcionados por redes publicitarias legítimas y obliga a la aplicación a instalarse en un dispositivo. Un atacante es pagado por la red cuando una de estas aplicaciones se instala correctamente.

Los registros recolectados por los investigadores de Check Point demuestran que Gooligan instala todos los días al menos 30.000 aplicaciones de forma fraudulenta en dispositivos quebrados o en más de 2 millones de aplicaciones desde que comenzó la campaña.

¿Cómo funciona Gooligan?

La infección comienza cuando un usuario descarga e instala una aplicación infectada con Gooligan en un dispositivo Android vulnerable. Nuestro equipo de investigación ha encontrado aplicaciones infectadas en tiendas de aplicaciones de terceros, pero también pueden ser descargadas directamente por usuarios de Android, ya que utilizan enlaces maliciosos en mensajes de ataque de phishing. Después de instalar una aplicación infectada, envía datos sobre el dispositivo al servidor Command and Control (C&C) de la campaña.

Gooligan entonces descarga un rootkit del servidor de C & C que aprovecha varios exploits de Android 4 y 5, incluyendo el conocido VROOT (CVE-2013-6282) y Towelroot (CVE-2014-3153). Estas explotaciones todavía afectan a muchos dispositivos hoy en día porque los parches de seguridad que los corrigen pueden no estar disponibles para algunas versiones de Android, o los parches nunca fueron instalados por el usuario. Si el enraizamiento tiene éxito, el atacante tiene el control total del dispositivo y puede ejecutar comandos privilegiados de forma remota.

Después de lograr el acceso root, Gooligan descarga un nuevo módulo malicioso del servidor de C & C y lo instala en el dispositivo infectado. Este módulo inyecta código en la ejecución de Google Play o GMS (Google Mobile Services) para imitar el comportamiento del usuario para que Gooligan pueda evitar la detección, una técnica que se vio por primera vez con el malware móvil HummingBad.

El módulo permite a Gooligan:

  1. Roba la cuenta de correo electrónico de Google y token de autenticación.
  2. Instalar aplicaciones de Google Play y calificarlas para aumentar su reputación.
  3. Instalar adware para generar ingresos.

Los servidores de anuncios, que no saben si una aplicación que utiliza su servicio es malicioso o no, envían a Gooligan los nombres de las aplicaciones para descargarlas desde Google Play.

Después de instalar una aplicación, el servicio de anuncios paga al atacante. Luego, el malware deja una revisión positiva y una calificación alta en Google Play, utilizando el contenido que recibe del servidor de C & C.

Nuestro equipo de investigación fue capaz de identificar varios casos de esta actividad mediante la referencia cruzada de datos de los dispositivos infringidos con las revisiones de aplicaciones de Google Play. Este es otro recordatorio de por qué los usuarios no deben confiar sólo en las calificaciones para decidir si confían en una aplicación.

Dos ejemplos de revisiones dejadas por usuarios que también fueron encontrados en los registros del atacante como víctimas.

Un ejemplo de comentarios falsos y comentarios a una de las aplicaciones fraudulentas.

El mismo usuario descubrió dos diferentes aplicaciones fraudulentas instaladas en su dispositivo, sin su conocimiento.

Al igual que HummingBad, el malware también falsifica información de identificación del dispositivo, como IMEI e IMSI, para descargar una aplicación dos veces mientras parece que la instalación está ocurriendo en un dispositivo diferente, duplicando así los ingresos potenciales.

¿Qué son los tokens de autorización de Google?

Un token de autorización de Google es una forma de acceder a la cuenta de Google y los servicios relacionados de un usuario. Google lo emite una vez que un usuario ha iniciado sesión correctamente en esta cuenta.

Cuando un hacker roba un token de autorización, pueden utilizar este token para acceder a todos los servicios de Google relacionados con el usuario, incluidos Google Play, Gmail, Google Docs, Google Drive y Google Fotos.

Mientras que Google implementó múltiples mecanismos, como la autenticación de dos factores, para evitar que los piratas informáticos comprometan las cuentas de Google, un token de autorización robado ignora este mecanismo y permite a los hackers el acceso deseado, ya que el usuario es percibido como ya iniciado sesión.

Conclusión

Gooligan ha infringido más de un millón de cuentas de Google. Creemos que es el mayor incumplimiento de cuenta de Google hasta la fecha y estamos trabajando con Google para continuar con la investigación. Animamos a los usuarios de Android a validar si sus cuentas han sido violadas.

Apéndice A: Lista de aplicaciones falsas infectadas por Gooligan

  • Perfect Cleaner
  • Demo
  • WiFi Enhancer
  • Snake
  • gla.pev.zvh
  • Html5 Games
  • Demm
  • memory booster
  • แข่งรถสุดโหด
  • StopWatch
  • Clear
  • ballSmove_004
  • Flashlight Free
  • memory booste
  • Touch Beauty
  • Demoad
  • Small Blue Point
  • Battery Monitor
  • 清理大师
  • UC Mini
  • Shadow Crush
  • Sex Photo
  • 小白点
  • tub.ajy.ics
  • Hip Good
  • Memory Booster
  • phone booster
  • SettingService
  • Wifi Master
  • Fruit Slots
  • System Booster
  • Dircet Browser
  • FUNNY DROPS
  • Puzzle Bubble-Pet Paradise
  • GPS
  • Light Browser
  • Clean Master
  • YouTube Downloader
  • KXService
  • Best Wallpapers
  • Smart Touch
  • Light Advanced
  • SmartFolder
  • youtubeplayer
  • Beautiful Alarm
  • PronClub
  • Detecting instrument
  • Calculator
  • GPS Speed
  • Fast Cleaner
  • Blue Point
  • CakeSweety
  • Pedometer
  • Compass Lite
  • Fingerprint unlock
  • PornClub
  • com.browser.provider
  • Assistive Touch
  • Sex Cademy
  • OneKeyLock
  • Wifi Speed Pro
  • Minibooster
  • com.so.itouch
  • com.fabullacop.loudcallernameringtone
  • Kiss Browser
  • Weather
  • Chrono Marker
  • Slots Mania
  • Multifunction Flashlight
  • So Hot
  • Google
  • HotH5Games
  • Swamm Browser
  • Billiards
  • TcashDemo
  • Sexy hot wallpaper
  • Wifi Accelerate
  • Simple Calculator
  • Daily Racing
  • Talking Tom 3
  • com.example.ddeo
  • Test
  • Hot Photo
  • QPlay
  • Virtual
  • Music Cloud