CheckPoint
ha anunciado
una nueva campaña de malware, que
bajo el nombre de Gooligan ha
comprometido más de un millón de cuentas
de Google, y continúa creciendo a un ritmo de 13.000 dispositivos infectados al día. En nuestro Laboratorio
Técnico hemos podido analizar algunas
muestras de este malware.
La infección comienza cuando un
usuario descarga e instala una aplicación infectada por Gooligan en un
dispositivo Android. Esta instalación se puede producir de diferentes maneras:
desde correos basura (scam) invitando al usuario a probar una nueva aplicación,
hasta en "markets" no
oficiales. Tras la instalación de la aplicación infectada, ésta envía
información del dispositivo al servidor punto de control (C&C del inglés
Command&Control) de la campaña.
En nuestro laboratorio se
analizaron a mediados de agosto unas muestras que abrían una puerta trasera
("Backdoor") en los
dispositivos y que finalmente resultó utilizar la misma infraestructura que
esta nueva familia. La regla Yara que utilizamos para detectarlo:
https://koodous.com/rulesets/1765
Este malware no es nuevo, en realidad procede de una mezcla de varios anteriores, tales como GhostPush, Kemoge,
HummingBad, sólo que esta vez ha llegado un poco más lejos con la combinación
de distintos tipos de ataques. Check Point reconoce en su artículo que procede
de una campaña de malware previa que tuvo su momento de gloria a finales del
año 2015 y que se incluía en una versión maliciosa de la aplicación de backups
SnapPea.
Gooligan afecta a dispositivos
con Android 4 (Jelly Bean, KitKat) y 5 (Lollipop), lo que actualmente
representa más de un 74% de los dispositivos actuales de los registrados en el
market de Google. Calculan que el 9% de estos dispositivos infectados están en
Europa y un 19% en América.
Tras esto, Gooligan descarga un
rootkit del servidor C&C, lo instala en el dispositivo y lo ejecuta. Este
rootkit aprovecha múltiples
vulnerabilidades en Android 4 y 5 incluyendo las ya conocidas VROOT (CVE-2013-6282)
y Towelroot (CVE-2014-3153). Estas vulnerabilidades, a pesar de tener más de tres
años, siguen estando sin parchear en muchos dispositivos actuales dada la
dificultad e incluso imposibilidad de actualizar muchos dispositivos. Si el
exploit tiene éxito, el atacante tendrá
control total del dispositivo y podrá ejecutar comandos con privilegios de
forma remota.
Las muestras que hemos analizado
en nuestro laboratorio tratan de conectarse a estas dos URLs para descargar
este rootkit, aunque en el momento del análisis aparecían caídas:
- hxxp://down.akwacdn.com/myroapk/rootmasterdemo1128_524[.]apk
- hxxp://106.186.17.81/rootmasterdemo1128_524[.]apk
Después de conseguir el acceso
root, Gooligan descarga e instala un nuevo módulo malicioso del servidor
C&C. Este módulo se inyecta en la ejecución de Google Play o GMS (Google
Mobile Services) para imitar el comportamiento del usuario y evitar su
detección. Este nuevo módulo permite:
- Robar la cuenta de correo electrónico de Google del usuario y la información del token de autenticación
- Instalar aplicaciones de Google Play y calificarlas para aumentar su reputación
- Instalar adware para generar ingresos
Cabe decir que la instalación de
adware para generar ingresos se intenta conseguir a través del bombardeo al
usuario con una técnica conocida como "drive-by-download".
Esta consiste en indicar al usuario que debe descargar una aplicación/archivo
pero sin dejar muy claro para qué. Con esto el malware se lucra a base de publicidad.
El token de autenticación de
Google tiene una función clave. Este se asigna al usuario una vez se identifica
en su cuenta de Google y con él se pueden realizar casi la mayoría de acciones
relacionadas con los servicios del mismo. Ya se observó el mismo comportamiento
en otras familias anteriormente (HummingBad) y el objetivo principal era votar
aplicaciones positivamente en Google Play y comentarlas. En este caso sucede lo
mismo.
Check Point pone a disposición de
los usuarios un sitio web en el que comprobar
si la cuenta Google ha sido comprometida por Gooligan: https://gooligan.checkpoint.com/.
https://koodous.com/rulesets/1765
Por supuesto, al haberla
detectado de manera tan prematura, esas aplicaciones no contenían las mismas
funcionalidades que ahora se han explicado, pero los usuarios de Koodous han estado protegidos desde entonces.
Más información:
More Than 1 Million Google Accounts Breached by
Gooligan
Antonio Sánchez
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario