Gooligan

Um novo ataque de malware está atingindo dispositivos Android em uma taxa alarmante.

Não importa quanto a tecnologia evolua, sempre haverá pessoas que se esforçarão para hackear e explorar as vulnerabilidades de dispositivos informáticos e plataformas de software. Portanto, atualizar a plataforma do seu dispositivo e instalar uma proteção antimalware nunca deve ficar para depois. Principalmente, se o dispositivo rodar na plataforma Android, a qual a natureza do seu código de desenvolvimento é aberto e, portanto, mais susceptível a ataques.

Um malware para Android, chamado de Gooligan, é o responsável pela violação de 1.3 milhão de contas do Google. Segundo a empresa de segurança Check Point, este ataque é responsável pela maior quebra de contas do Google jamais vista.1 Estima-se que o Gooligan infecte, diariamente, 13 mil dispositivos.

O Gooligan infecta os dispositivos e furta os tokens de autenticação do Google. Os tokens furtados podem ser usados para acessar dados do Google Play, do Gmail, do Google Fotos, do Google Docs, do G Suite, do Google Drive etc.

Quem pode ser afetado?

O Gooligan tem o potencial de afetar, principalmente, dispositivos Android 4 (Jelly Bean, KitKat) e 5 (Lollipop), que representam mais de 74% dos dispositivos em circulação no mercado. Cerca de 57% destes dispositivos estão localizados na Ásia e cerca de 9% estão na Europa.

A infecção começa de duas maneiras: os usuários do Android podem clicar em um link malicioso enviado a eles por um e-mail de phishing ou podem baixar um aplicativo falso infectado.

E equipe de pesquisa da Check Point alerta que dezenas de aplicativos com aparência legítima estão em lojas de aplicativos de terceiros para Android. Essas lojas são alternativas atraentes para o Google Play, pois muitos dos aplicativos oferecidos por elas são gratuitos ou oferecem versões gratuitas dos aplicativos pagos. No entanto, a segurança dos aplicativos que nelas são vendidos nem sempre é verificada.

A Check Pont, no link de referência no final desse artigo, faz uma relação dos aplicativos infectados. Caso você encontre alguma dessas aplicações instaladas sugiro que seja instalado um antmalware para dispositivos móveis e troque sua senha do Google.

Como o Gooligan age?

Após a infecção, o Gooligan envia dados sobre o dispositivo infectado para um servidor de comando e controle (C&C). A partir dai, ele começa a fazer o trabalho sujo.

Os pesquisadores da Check Point, explicam o processo:

“Gooligan then downloads a rootkit from the C&C server that takes advantage of multiple Android 4 and 5 exploits including the well-known VROOT (CVE-2013-6282) and Towelroot (CVE-2014-3153). These exploits still plague many devices today because security patches that fix them may not be available for some versions of Android, or the patches were never installed by the user. If rooting is successful, the attacker has full control of the device and can execute privileged commands remotely.”2

No esquema abaixo, elaborado pela Check Point, é possível entender melhor o funcionamento de um ataque baseado no Gooligan:

Clique na imagem para ampliar.

Mas os problemas não param por aí. Os atacantes baixam um módulo que injeta o código no Google Mobile Services para imitar o comportamento do usuário e assim evitar a detecção, uma técnica já observada com o malware Hummingbad. 3 O módulo permite que o Gooligan furte informações do token de autenticação e conta de e-mail do Google de um usuário;  Instale aplicativos do Google Play e avalie-os para aumentar sua reputação; Instale adware para gerar receita.

Você deve estar se perguntando o que é um token de autorização do Google

É uma forma de acessar a conta do Google e os seus serviços. Ele é emitido pelo Google quando um usuário faz login com êxito na sua conta.

Quando um token de autorização é furtado, ele  pode ser usado por terceiros para acessar sem autorização todos os serviços do Google relacionados com o usuário, incluindo o Google Play, o Gmail, o Google Docs, o Google Drive e o Google Fotos.

Conclusão

O Gooligan violou mais de um milhão de contas do Google. Acredita-se que seja a maior violação de contas do Google até o momento.

O principal objetivo de campanhas como a do Gooligan não é furtar os valiosos dados do Gmail ou do Google Docs, mas forçar os usuários a fazer o download de aplicativos como parte de um enorme esquema de fraudes publicitárias, que pode chegar a US$ 320 mil por mês. 4

Caso suspeite que a sua conta esteja comprometida, visite o Gooligan Checker. A ferramenta permite que os usuários Android verifiquem se a conta Google foi violada. Basta digitar seu e-mail para receber imediatamente uma mensagem pop-up, notificando se a conta foi ou não comprometida.

Gooligan Checker

Lembre-se que o malware para dispositivos Android precisa ser instalado por você. É verdade que os desenvolvedores de malware estão descobrindo maneiras cada vez mais inteligentes de fazer com que os usuários façam exatamente isso. No entanto, se um aplicativo pede mais acesso do que comumente deveria pedir, você deve questionar se ele realmente é seguro.

Evite lojas de aplicativos desconhecidas. Faça o download a partir do Google Play Store ou diretamente do site do fabricante do aplicativo.

Utilize um programa de qualidade para proteger o Android. É o que precisamos caso façamos download de malware acidentalmente. Eu indico o Kaspersky Internet Security for Android. É um excelente antimalware com recursos adicionais, como proteção contra tentativas de phishing, recursos antirroubo e gerenciamento on-line simples através do My Kaspersky.

Quero ser a prova de hackers

Referências

  1. More Than 1 Million Google Accounts Breached by Gooligan: http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/
  2. Tradução: O Gooligan, então, faz o download de um rootkit a partir do servidor C & C, que tira proveito de várias vulnerabilidades do Android 4 e 5, incluindo a bem conhecida VROOT (CVE-2013-6282) e Towelroot (CVE-2014-3153). Essas vulnerabilidades ainda afetam muito dispositivos pois os patches de segurança para corrigi-las podem não estar disponíveis para algumas versões do Android ou os nunca foram instalados pelo usuário. Se a instalação do rootkit for bem sucedida, o invasor terá controle total do dispositivo e poderá executar comandos privilegiados remotamente.
  3. From HummingBad to Worse: New In-Depth Details and Analysis of the HummingBad Android Malware Campaign: http://blog.checkpoint.com/2016/07/01/from-hummingbad-to-worse-new-in-depth-details-and-analysis-of-the-hummingbad-andriod-malware-campaign/
  4. O chefe de segurança do Android do Google, Adrian Ludwig, fez um post sobre o Gooligan dizendo que a empresa não tinha evidências de outra atividade fraudulenta, além da promoção de aplicativos, nas contas furtadas.
ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.