Malware Gooligan Android utilizado para vulnerar un millón de cuentas de Google


Investigadores de seguridad de Check Point han revelado una nueva variante del malware en Android, violando la seguridad de más de un millón de cuentas de Google.


La nueva campaña de malware, denominada Gooligan, vulnera la raíz del sistema en dispositivos Android y roba direcciones de correo electrónico y símbolos de autenticación almacenados en ellos. Con esta información, los atacantes pueden acceder a datos confidenciales de los usuarios desde Gmail, Google Fotos, Google Docs, Google Play, Google Drive y G Suite.

Resultados de la vulnerabilidad

  • La campaña infecta 13.000 dispositivos cada día y es la primera en arraigarse en más de un millón de dispositivos.
  • Cientos de direcciones de correo electrónico están asociadas con cuentas empresariales de todo el mundo.
  • Gooligan apunta a dispositivos Android 4 (Jelly Bean, KitKat) y 5 (Lollipop), que representan casi el 74% de los dispositivos Android en uso hoy en día.
  • Una vez que los atacantes obtienen el control sobre el dispositivo, generan ingresos mediante la instalación fraudulenta de aplicaciones de Google Play y su calificación en nombre de la víctima.
  • Cada día, Gooligan instala al menos 30.000 aplicaciones en dispositivos quebrados, o más de 2 millones de aplicaciones desde que comenzó la campaña.


Check Point se contactó inmediatamente con el equipo de seguridad de Google informando sobre esta campaña. "Como parte de nuestros esfuerzos en curso para proteger a los usuarios de la familia de malware Ghost Push, hemos tomado numerosas medidas para proteger a nuestros usuarios y mejorar la seguridad del ecosistema global de Android", dijo Adrian Ludwig, director de seguridad de Android de Google.

Entre otras acciones, Google ha contactado a los usuarios afectados y ha revocado sus fichas, eliminado las aplicaciones asociadas a la familia Ghost Push de Google Play y ha añadido nuevas protecciones a su tecnología Verify Apps.


El Equipo de Investigación Móvil de Check Point encontró por primera vez el código de Gooligan en la aplicación maliciosa SnapPea el año pasado. En agosto de 2016, el malware reapareció con una nueva variante y desde entonces ha infectado al menos 13.000 dispositivos por día. La infección comienza cuando un usuario descarga e instala una aplicación infectada con Gooligan en un dispositivo Android vulnerable, o haciendo clic en vínculos maliciosos en mensajes de ataque de phishing.

Fuente: Helpnet Security