Malware Gooligan compromete mais de 1 milhão de contas Google no Android

Pesquisadores descobriram uma família de malwares baseados em Android que tem comprometido mais de 1 milhão de contas da Google, centenas delas associadas a usuários corporativos.

Gooligan, como os pesquisadores da empresa de segurança Check Point Software Technologies têm apelidado o malware, foi encontrado em, pelo menos, 86 aplicativos disponíveis em lojas fora da Play Store. Uma vez instalado, o Gooligan usa um processo conhecido como “root” para ter acesso altamente privilegiado aos dispositivos que executam as versões 4 (Ice Cream Sandwich, Jelly Bean, e KitKat) e 5 (Lollipop) do sistema operacional Android. Juntas, as versões vulneráveis representam cerca de 74 % dos usuários.

Depois do root, o programa malicioso baixa e instala um software que rouba os tokens de autenticação que permitem acesso as contas relacionadas a conta Google do proprietário sem ter de introduzir nenhuma senha. Os tokens funcionam para uma variedade de aplicativos da Google, incluindo Gmail, Google Fotos, Google Docs, Google Play, Google Drive, e G Suite.

Em um post publicado na manhã desta quarta-feira, a Check Point escreveu:

“A infecção começa quando um usuário baixa e instala algum aplicativo infectado com o Gooligan em um dispositivo Android vulnerável. Nossa equipe de pesquisa encontrou aplicativos infectados em lojas de terceiros. Isso não descarta a possibilidade de o vírus ser baixado diretamente por usuários do Android através de links maliciosos em mensagens de phishing.

 Depois que um aplicativo infectado é instalado, ele envia dados sobre o dispositivo para um servidor. O Gooligan em seguida, baixa um rootkit que tira proveito de falhas na segurança do Android 4 e 5, incluindo a bem conhecida VROOT (CVE-2.013-6.282) e a Towelroot (CVE-2014-3153). Essas brechas de segurança ainda assolam muitos dispositivos, pois os patches de segurança responsáveis por corrigir tais falhas podem não estar disponíveis para algumas versões antigas do Android, ou por, simplesmente, não ter sido instaladas pelo usuário. Se o root for bem-sucedido, o atacante tem o controle total do dispositivo e pode executar comandos privilegiados remotamente. ”

O engenheiro de segurança, Adrian Ludwig, membro da equipe de desenvolvimento do Android, disse que ele e outros funcionários do Google têm trabalhado em estreita colaboração com a Check Point ao longo das últimas semanas para investigar o Gooligan. A prioridade é proteger os usuários contra a ameaça que o malware representa. Ele afirma que não há evidências que comprovem o acesso não autorizados as contas Google comprometidas ou a teoria que usuários individuais foram escolhidos como alvos.

“Estamos tomando providencias para proteger nossos usuários e melhorar a segurança do ecossistema Android em geral”, escreveu Ludwig. “estamos desativando provisoriamente as contas Google dos usuários afetados, proporcionando-lhes instruções claras e detalhadas de como proceder com os dispositivos que foram afetados.  Além disso, estamos trabalhando na implantação e melhoria dos aplicativos que verificam Apps para proteger os usuários contra essas ameaças no futuro. “

Gooligan é uma variante agressiva do Ghost Push, um malware Android descoberto em setembro de 2015. Não há nenhuma indicação de que qualquer um dos aplicativos fraudulentos contendo o novo código Gooligan já estava disponível na loja oficial do Google. Cerca de 57 % dos dispositivos infectados pelo programa malicioso estão localizados na Ásia, 19 % nas Américas, 15 % na África e 9 % na Europa. Os usuários do Android que fizeram o download de aplicativos de terceiros podem visitar o blog Check Point para obter uma lista dos 86 aplicativos conhecidos que contem Gooligan. Como alternativa, os usuários podem visitar este link para ver se a conta Google associada ao seu dispositivo foi comprometida.

 Telefones infectados deverão receber uma nova versão do Android.