Recursos afectados:

Cualquier dispositivo Android, como smartphones, tabletas o dispositivos AllinOne, utilizados tanto para uso empresarial como personal, con versión:

  • Android 4.0. Ice Cream Sandwich
  • Android 4.1. Jelly Bean
  • Android 4.4. KitKat
  • Android 5.0/5.1 Lollipop

desde el que se hayan descargado e instalado las apps (véase listado en el apartado Detalle) infectadas por el virus.

Descripción:

Según ha reportado la empresa Check Point un virus, al que han denominado Gooligan, estaría infectando dispositivos Android, entre ellos smartphones, tabletas o dispositivos AllinOne de uso empresarial, que hayan descargado alguna de las más de 100 aplicaciones infectadas de markets alternativos (distintos de la tienda oficial).

Al descargar cualquiera de las apps infectadas, el virus toma control del dispositivo y podrá:

  • cambiar por completo el sistema operativo
  • eliminar aplicaciones de fábrica
  • controlar la configuración de las aplicaciones instaladas y descargar nuevas aplicaciones de la Google Play Store
  • utilizar las cuentas de usuario de Google y aplicaciones especiales
Solución:

Si has instalado en algún dispositivo Android de tu empresa alguna aplicación de la lista, desinstálala y sigue estos pasos:

  • Abrir el Menú, Ir a “Ajustes > Aplicaciones”, buscar la app y seleccionarla, a continuación, hacer tap en el botón “Desinstalar”.
  • Analizar el dispositivo con algún antivirus. En la página de herramientas gratuitas dentro de la web de la Oficina de Seguridad del Internauta (OSI) tienes diversos antivirus gratuitos para Android.

También es muy útil instalar la herramienta CONAN Mobile, que no solo protege ante malware, sino también ante configuraciones no seguras, informa sobre permisos que solicitan las apps, ofrece el servicio Antibotnet y otros aspectos que mejoran la seguridad en dispositivos Android.

Para proteger los dispositivos móviles para uso empresarial sigue los consejos en este video y los artículos del blog sobre #movilidad.

Detalle:

El virus Gooligan se transmite por aplicaciones maliciosas de Android. Si un empleado instala una de las apps de la lista, esta toma el control del dispositivo haciendo el rooteo del mismo. Al rootearlo la app se auto-otorga permisos de super-usuario o administrador total. En concreto el virus una vez rooteado el dispositivo:

  • utiliza las credenciales de Gmail del usuario del dispositivo einstala nuevas apps de Google Play Store con la intención de aumentar la reputación y posicionamiento de las mismas;
  • instala otros virus en el dispositivo infectado, para hacer que el usuario visite sitios web con publicidad no deseada o que se descargue apps que contienen esta publicidad;
  • podría acceder a otros servicios de Google de ese usuario como: Gmail, Google Fotos, Google Play Store, Google Drive y otras.

La lista de aplicaciones detectadas actualmente, algunas de ellas de las categorías de comunicación, empresa, herramientas, navegación, productividad, etc., es la siguiente:

  1. Perfect Cleaner
  2. Demo
  3. WiFi Enhancer
  4. Snake
  5. gla.pev.zvh
  6. Html5 Games
  7. Demm
  8. memory booster
  9. StopWatch
  10. Clear
  11. ballSmove_004
  12. Flashlight Free
  13. memory booste
  14. Touch Beauty
  15. Demoad
  16. Small Blue Point
  17. Battery Monitor
  18. UC Mini
  19. Shadow Crush
  20. Sex Photo
  21. tub.ajy.ics
  22. Hip Good
  23. Memory Booster
  24. phone booster
  25. SettingService
  26. Wifi Master
  27. Fruit Slots
  28. System Booster
  29. Dircet Browser
  30. FUNNY DROPS
  31. Puzzle Bubble-Pet Paradise
  32. GPS
  33. Light Browser
  34. Clean Master
  35. YouTube Downloader
  36. KXService
  37. Best Wallpapers
  38. Smart Touch
  39. Light Advanced
  40. SmartFolder
  41. youtubeplayer
  42. Beautiful Alarm
  43. PronClub
  44. Detecting instrument
  45. Calculator
  46. GPS Speed
  47. Fast Cleaner
  48. Blue Point
  49. CakeSweety
  50. Pedometer
  51. Compass Lite
  52. Fingerprint unlock
  53. PornClub
  54. com.browser.provider
  55. Assistive Touch
  56. Sex Cademy
  57. OneKeyLock
  58. Wifi Speed Pro
  59. Minibooster
  60. com.so.itouch
  61. com.fabullacop.loudcallernameringtone
  62. Kiss Browser
  63. Weather
  64. Chrono Marker
  65. Slots Mania
  66. Multifunction Flashlight
  67. So Hot
  68. HotH5Games
  69. Swamm Browser
  70. Billiards
  71. TcashDemo
  72. Sexy hot wallpaper
  73. Wifi Accelerate
  74. Simple Calculator
  75. Daily Racing
  76. Talking Tom 3
  77. com.example.ddeo
  78. Test
  79. Hot Photo
  80. QPlay
  81. Virtual
  82. Music Cloud

CheckPoint ha publicado un servicio donde es posible consultar si la cuenta de correo de Gmail asociada a un dispositivo ha sido comprometido.

Fuente original del articulo: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/dispositivos-android-afectados-virus