.png)
Fecha de Descubrimiento: Gooligan fue descubierto en noviembre de 2016 por investigadores de la firma de seguridad cibernética Check Point Software Technologies. Este malware se volvió notorio rápidamente debido a su capacidad para comprometer dispositivos Android y obtener acceso a aplicaciones y servicios de Google .
Contexto y Propagación: El malware Gooligan se distribuía a través de una variedad de métodos engañosos, como aplicaciones falsas y correos electrónicos de phishing. Además, algunas aplicaciones descargadas desde tiendas de terceros no oficiales también contenían el código malicioso. Gooligan logró infectar más de un millón de dispositivos Android en solo unos pocos meses, convirtiéndose en uno de los ataques más extendidos de su tiempo.
Acceso no Autorizado: Una vez que Gooligan infectaba un dispositivo, el malware obtenía acceso no autorizado a las cuentas de Google asociadas con ese dispositivo. Esto incluía acceso a Gmail, Google Photos, Google Docs, Google Play y otros servicios de Google.
Generación de Ingresos Fraudulentos: Gooligan estaba diseñado principalmente para generar ingresos fraudulentos mediante la instalación y calificación automática de aplicaciones desde Google Play. Una vez comprometido el dispositivo, Gooligan descargaba y instalaba aplicaciones desde Google Play sin el conocimiento del usuario, generando ingresos por publicidad para los operadores del malware.
Robo de Información: Algunos informes también sugieren que Gooligan podría haber robado información sensible del dispositivo comprometido, aunque el ingreso fraudulento de la publicidad parecía ser el objetivo principal.
Exploit Kits: Gooligan se aprovechaba de técnicas sofisticadas de exploit kits que explotaban vulnerabilidades conocidas en versiones más antiguas del sistema operativo Android. Estas vulnerabilidades permitían que el malware obtuviera acceso root en los dispositivos infectados.
Phishing y Aplicaciones Maliciosas: El malware se propagaba principalmente a través de aplicaciones maliciosas (APK) que los usuarios descargaban de tiendas de aplicaciones no oficiales. Además, los correos electrónicos de phishing también fueron una táctica común, donde los receptores eran engañados para descargar aplicaciones infectadas o hacer clic en enlaces maliciosos.
Instalaciones Automáticas: Una vez que Gooligan lograba acceso root al dispositivo, descargaba y ejecutaba código adicional que le permitía instalar y calificar aplicaciones automáticamente sin que el usuario lo notara. Esto se hacía a través de un servidor de comando y control que dirigía las acciones del malware.
Obteniendo Token de Autenticación: El malware también comprometía los tokens de autenticación utilizados para acceder a los servicios de Google. Esto le permitía tomar control de las cuentas de Google del usuario sin necesidad de contraseñas posteriores.
Evasión y Persistencia: Gooligan incluía métodos de ofuscación y técnicas para evadir la detección por parte de software de seguridad. Además, el acceso root le permitía persistir en el dispositivo, incluso tras reinicios, haciéndolo difícil de eliminar sin una intervención especializada.
Intervención de Google y Check Point: Después del descubrimiento de Gooligan, Google y Check Point trabajaron en conjunto para mitigar el impacto del malware. Google revocó los tokens de autenticación comprometidos y notó a los usuarios afectados. También se emitieron actualizaciones de seguridad para corregir las vulnerabilidades explotadas por el malware.
Recomendaciones: Para protegerse contra amenazas similares, siempre se recomienda a los usuarios:
Gooligan resaltó la importancia de la seguridad móvil y marcó un hito significativo en la evolución del malware dirigido a dispositivos Android.