La diferencia entre una manzana con gusano y un móvil infectado es que a la primera hay que morderla para saber si está pocha o no. En el caso del teléfono, que tenga instalado un malware es fácil de saber al comprobar si va lento o se reinicia. Gooligan no provocaba ni lo primero ni lo segundo, pero ya infecta a 13.000 dispositivos al día, y subiendo.
Lo ha descubierto la firma de seguridad Checkpoint, un malware que ha robado ya las credenciales de más de un millón de cuentas de Google. “Ha sido un ataque extraordinariamente coordinado y complejo, ya que han encontrado 12 agujeros en Android y los están explotando”, explica a eldiario.es Mario García, director general de Checkpoint en España y Portugal.
Aunque pega fuerte en Asia (casi el 60% de las víctimas se concentran allí), en nuestro país, Gooligan ha comprometido ya 748 cuentas de Google. Su forma de operar es sencilla: los desarrolladores suben a Google Play o a otras tiendas de apps en Internet las aplicaciones infectadas que luego son ndescargada e instaladas por los usuarios. Según García, el marketplace de Google sí obliga a las apps “a pasar algunos controles, pero no es un análisis muy exhaustivo”. En cambio, “muchas de las tiendas alternativas no tienen ningún tipo de control”, dice el directivo.
Una vez instalado, el gusano rootea el teléfono, lo que significa que gana acceso de administrador haciéndose dueño de todos los procesos que corren en Android. Así es como consigue instalar aplicaciones sin permiso del usuario y valorarlas de forma positiva en los distintos marketplaces. “Desarrollaban apps que parecían buenas y normales. Desde una que se llama GPS a otras como Talking Tom 3, Calculator o Wifi Master”, continúa el director de Checkpoint España. Cuantas más estrellas, más confianza para el resto de usuarios.
Descargarse 30.000 apps al día
appsGooligan está haciendo el agosto entre los terminales que usan Android 4 (JellyBean y KitKat) y 5 (Lollipop). Puede acceder a la información que tengamos en Gmail, Google Fotos, Google Docs, G Suite, Drive y el resto de aplicaciones de la compañía. Según Checkpoint, los móviles desactualizados con Android 4 y 5 representan el 74% del total de dispositivos del mercado.
Una fórmula muy utilizada por los desarrolladores de contenidos gratuitos es la de incluir banners dentro de la aplicación. “Hay determinados anuncios en los que si tú pinchas y te bajas dos aplicaciones o haces un review positivo, ganas 15 céntimos”, explica García. Gooligan era capaz de bajarse hasta 30.000 apps al día, generando unos beneficios cercanos a los que ya rondó su hermano gemelo, HummingBad, en julio de este año.
“Aún no sabemos quién el grupo original que ha desarrollado Gooligan, pero HummingBad venía de Hong Kong”, continúa García. El malware utiliza apps que sirven para limpiar el sistema operativo, optimizar la batería o la memoria del teléfono para propagarse, todas gratuitas; y ya sabemos que cuando no pagas por el producto, el producto eres tú. “¿Alguien se cree que se puede bajar un GPS gratis? ¿Alguien de verdad se cree que las cosas se regalan?”, se pregunta el director de Checkpoint España.
Se busca: antivirus de aplicaciones
Solo el año pasado, otra de las grandes empresas de ciberseguridad en el mundo, Kaspersky, detectó más de 121 millones de amenazas en Internet. El objetivo principal de casi dos millones de ellas era robar dinero. Más de 750.000 programas eran ransomware, dedicados a secuestrar el dispositivo de la víctima y luego pedir un rescate.
Checkpoint ha habilitado una página web para comprobar si la cuenta de Google que tengamos asociada a Android ha sido comprometida o no. “Si está infectado tiene que llevar el teléfono a una tienda y flashearlo. No hay forma de solucionarlo”, explica el directivo. Y para los que se lo estén preguntando: no, los antivirus no son capaces de detectar el Gooligan. “Un antivirus funciona en un ordenador porque mira los ficheros, los compara con los que tiene y te dice si el fichero infectado es bueno o malo”, continúa.
En Android, al no existir ficheros la forma de infección es a través de aplicaciones corruptas: “Lo que hay que mirar son las aplicaciones y no los ficheros”, dice García, que ve dos problemas fundamentales: “La gente no tiene nada. Primero, falta concienciación. Segundo, hay pocos sistemas de seguridad realmente buenos”. Sobre los antivirus cree que no son realmente eficaces: “No digo que hagan cero, pero los virus en los móviles van por aplicaciones, no por ficheros”.