- Afectados miles de particulares y empresas
- A través del ‘malware’ Gooligan, los ciberdelincuentes consiguen generar beneficios instalando hasta 30.000 ‘apps’ maliciosas al día en los aparatos infectados y calificándolas en nombre de los usuarios.
La organización FACUA Consumidores en Acción informó el pasado lunes de que un equipo de investigadores ha descubierto una nueva variante de malware denominada Gooligan, que afecta a Android y que ha conseguido traspasar la seguridad de más de un millón de cuentas de Google.
Gooligan rootea los dispositivos Android y roba las direcciones de email y tokens de autenticación almacenados. Con esta información, los ciberdelicuentes pueden acceder a los datos sensibles de los usuarios en Gmail, Google Photos, Google Docs, Google Play y G Suite.
«Este robo de más de un millón de cuentas de Google no tiene precedentes, y representa la siguiente fase de los ciberataques», explica el director de productos de movilidad de Check Point (la compañía de seguridad donde trabajan los investigadores), Michael Shaulov. «Estamos viendo un cambio de conducta en la estrategia de los hackers, que ahora tienen en su punto de mira a los dispositivos móviles para robar la información sensible que contienen».
La campaña Gooligan infecta 13.000 dispositivos cada día, y es la primera en rootear cerca de un millón de terminales. Además, cientos de las direcciones de email robadas pertenecen a agentes del gobierno, instituciones educativas, entidades financieras y administraciones públicas.
Gooligan ataca a terminales con Android 4 (versiones Jelly Bean, KitKat) y 5 (Lollipop), que representan cerca del 74 por ciento del total de dispositivos Android utilizados en la actualidad. La infección empieza cuando un usuario descarga e instala una app afectada por Gooligan en un dispositivo Android vulnerable, o al hacer clic en enlaces maliciosos incluidos en mensajes de phishing.
El dispositivo, bajo control
Una vez que los ciberdelincuentes se han hecho con el control del dispositivo, generan beneficios instalando apps maliciosas de Google Play y calificándolas en nombre del usuario. Gooligan instala cada día un mínimo de 30.000 aplicaciones en los dispositivos infectados, es decir, más de dos millones desde el inicio de la campaña.
Check Point ha compartido la información de esta campaña de forma inmediata con el equipo de seguridad de Google. Entre otras acciones, Google ha contactado con los usuarios afectados y ha anulado sus tokens. También ha borrado de Google Play las apps asociadas con Ghost Push y ha añadido nuevas capas de protección a su tecnología de verificación de apps.
El equipo de investigación móvil de Check Point descubrió el código de Gooligan el año pasado en la app maliciosa SnapPea. En agosto de 2016, este malware reapareció con una nueva variante, y ha infectado desde entonces al menos 13.000 dispositivos al día. Cerca del 57 por ciento se encuentran en Asia, y alrededor del 9 por ciento en Europa. Cientos de las direcciones de email robadas están asociadas a empresas de todo el mundo.
Check Point ofrece una herramienta online gratuita que permite a los usuarios de Android comprobar si su cuenta ha sido hackeada. «Si tu cuenta ha sido expuesta, debes reinstalar completamente el sistema operativo de tu dispositivo», un proceso que, como ha explicado Shaulov, se llama flashear.
Fuente: FACUA Consumidores en Acción.
Imagen: José Carlos Sánchez Rodríguez (Infonuba)
