Egy új androidos vírus már több mint egymillió Google-fiók bejelentkezési adatait lopta el, és továbbra is rengeteg Android-eszközt fertőz meg a Checkpoint biztonsági cég tájékoztatása szerint, anely blogbejegyzésében egyenesen azt állítja, hogy a Google-fiókokat célzó eddigi legnagyobb adatlopási incidenssel állunk szemben.
A beszédes nevű Gooligan vírus az Android mobil operációs rendszer régebbi, 4.1-től 5.1-ig terjedő verziószámú változatait támadja, amelyeket még mindig elterjedten használnak világszerte, legfőképpen pedig Ázsiában. A Gooligan legálisnak tűnő Android-alkalmazásokként álcázza magát, a Checkpoint eddig 86 olyan appot talált a nem hivatalos alkalmazásáruházakban, amelyek tartalmazták a rosszindulatú kódot.
Miután a Gooligan telepítődött, a teljes körű ellenőrzés megszerzése érdekében megpróbálja rootolni a megfertőzött eszközt. Ehhez a régebbi Android-változatok jól ismert sérülékenységeit használja ki. Rengeteg androidos eszköz sebezhető ily módon, mivel a biztonsági javítások nem készültek el egyes Android-verziókhoz, vagy pedig ezeket nem telepítették a felhasználók, olvashatjuk a Checkpoint blogbejegyzésében.
Ezt követően a Gooligan ellopja a felhasználó Google hitelesítési tokenjeit, és hozzáférést szerez az illető Gmail, Google Play és más fiókjához. Az eddig feltört több mint egymillió fiók 19 százaléka amerikai, 9 százaléka európai, 57 százaléka pedig ázsiai felhasználókhoz tartozott a Checkpoint adatai szerint.
Miután hozzáfért a fiókokhoz, a Gooligan megkísérel bevételt termelni készítőinek azáltal, hogy legális hirdetési hálózatok által reklámozott alkalmazásokat telepít és pozitív véleményeket ír róluk a Google Play áruházban. A hirdetési hálózatok minden egyes sikeres alkalmazástelepítés után fizetnek a hackereknek.
A Gooligan első verzióját még tavaly fedezték fel a biztonsági kutatók, amikor az megjelent a rosszindulatú SnapPea mobilalkalmazásban. A Checkpoint létrehozott egy weboldalt, ahol a felhasználók ellenőrizhetik, hogy Google-fiókjukat feltörte-e a Gooligan.
A biztonsági szakértők arra figyelmeztetik a felhasználókat, hogy nem töltsenek le alkalmazásokat a nem hivatalos appáruházakból, mivel ezek gyakran semmit sem tesznek a feltöltött szoftverek ellenőrzése, a rosszindulatú programok kiszűrése érdekében.
A Gooligan készítői SMS-ekben küldött hivatkozások segítségével ugyancsak terjesztik a vírust.
