CSIRT Panamá Aviso 2016-11 – Gooligan
Gravedad: Crítica
Fecha de publicación: Noviembre 30, 2016
Fecha de modificación: Noviembre 30, 2016
Última revisión: Revisión A.
Fuente: Checkpoint
Sistemas Afectados
Dispositivos Android con versión 4 (Jelly Bean y KitKat) y versión 5 (Lollipop).
I. Descripción
Gooligan es un código malicioso que se instala silenciosamente en segundo plano al ejecutar una aplicación por fuentes de terceros (fuera de la tienda oficial Google Play) o también a través de alguna campaña de fraude electrónico (phishing). Éste código malicioso tendría acceso a toda la información asociada a la cuenta Gmail del dispositivo que infecta, adicionalmente tiene la capacidad de rootear los dispositivos, es decir, tomar control absoluto del dispositivo.
Es importante recalcar que en caso de infección por Gooligan, el código malicioso tendría acceso a todos los correos y conversaciones asociados a la cuenta Gmail, fotografías y videos subidos a Google Photos, archivos de sonido, multimedia en general subida a Google Drive y documentos realizados en Google Docs, historial de aplicaciones y versiones instaladas a través del servicio Google Play y archivos asociados a G Suite. Es decir, todo el historial de uso e información personal relacionada con la vida del individuo que utiliza la cuenta de Gmail asociada al dispositivo Android infectado.
A la fecha Gooligan ha registrado arriba de 1 millón de cuentas Gmail y se encuentra en crecimiento con una tasa aproximada de 13 mil dispositivos por día. Como el código malicioso afecta potencialmente las versiones 4 y 5 de Android, se trata de una población de aproximadamente el 74% de los dispositivos que se encuentran actualmente en el mercado.
Para revisar de manera rápida si una cuenta de Gmail ha sido afectada se puede utilizar la herramienta en línea gratuita https://gooligan.checkpoint.com
Se puede revisar una lista de aplicaciones maliciosas relacionadas con Gooligan en:
blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/
Mitigación
En caso de estar infectado con Gooligan se recomienda realizar una instalación limpia del sistema operativo del dispositivo (proceso que se conoce como “flashing” o “flashear”). En caso de desconocer cómo realizar el procedimiento se debe apagar el dispositivo y entregarselo a un técnico especializado.
Como se encuentra afectada directamente la cuenta de Gmail asociada al dispositivo, se debe realizar un cambio inmediato de las credenciales de acceso después de realizar el proceso anterior.
También se recomienda actualizar la base de datos de algún antivirus o antimalware para móvil y escanear el dispositivo.
II. Impacto
Complejidad de Acceso: Baja.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso total del sistema.
III. Referencia a soluciones, herramientas e información
a. https://gooligan.checkpoint.com
b. http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa
—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v2.0.17 (MingW32)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=JUYg
—–END PGP PUBLIC KEY BLOCK—–