viernes, 2 de diciembre de 2016

Malware para Android compromete más de un millón de cuentas de Google

CheckPoint ha anunciado una nueva campaña de malware, que bajo el nombre de Gooligan ha comprometido más de un millón de cuentas de Google, y continúa creciendo a un ritmo de 13.000 dispositivos infectados al día. En nuestro Laboratorio Técnico hemos podido analizar algunas muestras de este malware.

Este malware no es nuevo, en realidad procede de una mezcla de varios anteriores, tales como GhostPush, Kemoge, HummingBad, sólo que esta vez ha llegado un poco más lejos con la combinación de distintos tipos de ataques. Check Point reconoce en su artículo que procede de una campaña de malware previa que tuvo su momento de gloria a finales del año 2015 y que se incluía en una versión maliciosa de la aplicación de backups SnapPea.

Gooligan afecta a dispositivos con Android 4 (Jelly Bean, KitKat) y 5 (Lollipop), lo que actualmente representa más de un 74% de los dispositivos actuales de los registrados en el market de Google. Calculan que el 9% de estos dispositivos infectados están en Europa y un 19% en América.

La infección comienza cuando un usuario descarga e instala una aplicación infectada por Gooligan en un dispositivo Android. Esta instalación se puede producir de diferentes maneras: desde correos basura (scam) invitando al usuario a probar una nueva aplicación, hasta en "markets" no oficiales. Tras la instalación de la aplicación infectada, ésta envía información del dispositivo al servidor punto de control (C&C del inglés Command&Control) de la campaña.

Tras esto, Gooligan descarga un rootkit del servidor C&C, lo instala en el dispositivo y lo ejecuta. Este rootkit aprovecha múltiples vulnerabilidades en Android 4 y 5 incluyendo las ya conocidas VROOT (CVE-2013-6282) y Towelroot (CVE-2014-3153). Estas vulnerabilidades, a pesar de tener más de tres años, siguen estando sin parchear en muchos dispositivos actuales dada la dificultad e incluso imposibilidad de actualizar muchos dispositivos. Si el exploit tiene éxito, el atacante tendrá control total del dispositivo y podrá ejecutar comandos con privilegios de forma remota.

Las muestras que hemos analizado en nuestro laboratorio tratan de conectarse a estas dos URLs para descargar este rootkit, aunque en el momento del análisis aparecían caídas:
  • hxxp://down.akwacdn.com/myroapk/rootmasterdemo1128_524[.]apk
  • hxxp://106.186.17.81/rootmasterdemo1128_524[.]apk

Después de conseguir el acceso root, Gooligan descarga e instala un nuevo módulo malicioso del servidor C&C. Este módulo se inyecta en la ejecución de Google Play o GMS (Google Mobile Services) para imitar el comportamiento del usuario y evitar su detección. Este nuevo módulo permite:
  • Robar la cuenta de correo electrónico de Google del usuario y la información del token de autenticación
  • Instalar aplicaciones de Google Play y calificarlas para aumentar su reputación  
  • Instalar adware para generar ingresos

Cabe decir que la instalación de adware para generar ingresos se intenta conseguir a través del bombardeo al usuario con una técnica conocida como "drive-by-download". Esta consiste en indicar al usuario que debe descargar una aplicación/archivo pero sin dejar muy claro para qué. Con esto el malware se lucra a base de publicidad.

El token de autenticación de Google tiene una función clave. Este se asigna al usuario una vez se identifica en su cuenta de Google y con él se pueden realizar casi la mayoría de acciones relacionadas con los servicios del mismo. Ya se observó el mismo comportamiento en otras familias anteriormente (HummingBad) y el objetivo principal era votar aplicaciones positivamente en Google Play y comentarlas. En este caso sucede lo mismo.

Check Point pone a disposición de los usuarios un sitio web en el que comprobar si la cuenta Google ha sido comprometida por Gooligan: https://gooligan.checkpoint.com/.

En nuestro laboratorio se analizaron a mediados de agosto unas muestras que abrían una puerta trasera ("Backdoor") en los dispositivos y que finalmente resultó utilizar la misma infraestructura que esta nueva familia. La regla Yara que utilizamos para detectarlo:
  https://koodous.com/rulesets/1765

Por supuesto, al haberla detectado de manera tan prematura, esas aplicaciones no contenían las mismas funcionalidades que ahora se han explicado, pero los usuarios de Koodous han estado protegidos desde entonces.

Más información:

More Than 1 Million Google Accounts Breached by Gooligan



Antonio Sánchez


Antonio Ropero
Twitter: @aropero



No hay comentarios:

Publicar un comentario en la entrada