El malware Godless para Android encontrado en la Google Play Store se aprovecha de exploits para rootear dispositivos. Es el segundo malware móvil que usa este tipo de exploits en lo que va de año. Godless, detectado por los chicos de Trend Micro como ANDROIDOS_GODLESS.HRX, es una familia de malware que afecta a los Smartphones y tablets Android y que utiliza una serie de exploits que le permiten rootear el teléfono para obtener privilegios de administrador en el dispositivo. Trend Micro dice que la aplicación se distribuye a través de diferentes métodos y múltiples localizaciones, incluso desde la Google Play Store, que normalmente es la opción más segura para los usuarios para descargar aplicaciones. Godless se encuentra oculto dentro de varias aplicaciones, y cuando se le da permiso de ejecución, descarga automáticamente Android-rootings-tools de GitHub, que es una colección de exploits de código abierto o filtrados que permiten rootear dispositivos Android.

malware android

Godless es capaz de rootear nueve de cada diez dispositivos Android

Basándose en el código fuente que hay analizado, los chicos de Trend Micro dicen que Godless es capaz de rootear todas las versiones de Android hasta Android Lollipop (5.1). Basándonos en su historial de exploits, Godless podría, en teoría, ser capaz de rootear el 90 por ciento de los dispositivos Android que se encuentran en circulación hoy en día. Los exploits de root más potentes encontrados en la lista de herramientas de hacking de Godless incluyen el CVE-2015-3636 (también conocido como PingPongRoot exploit) y el CVE-2014-3153 (también llamado Towelroot exploit). Cuando la aplicación infectada con Godless se ejecuta, descarga los exploits, y después el malware se asegura de que la pantalla del dispositivo esté apagada y ejecuta el código malicioso.

malware androidGodless descargará aplicaciones no deseadas en tu dispositivo Android

Después de obtener privilegios de administrador en tu dispositivo, Godless abre comunicación con su servicor C&C, y a partir de ahí recibe la lista de aplicaciones que debe instalar en tu dispositivo rooteado. En versiones anteriores del malware que se encontraron hace unos meses, los investigadores de Trend Micro dijeron que Godless solía descargar un clon de la Google Play Store oficial, y que lo utilizaba para robar las credenciales de Google del usuario. Con estas credenciales a mano, Godless podría entonces descargar e instalar otras aplicaciones utilizando la Google Play Store real.

La firma de seguridad estima que Godless se ha hecho con, al menos, 850.000 víctimas en todo el mundo. Si nos basamos en las estadísticas, la mayoría de los usuarios son de India (el 46’19 por ciento) seguidos por Indonesia (10’27 por ciento) y Tailandia (9’47 por ciento). A principios de mayo Bitdefender descubrió un malware para Android bastante parecido que también utilizaba este tipo de técnicas.