Специалисты из компании Check Point обнаружили новую агрессивную форму вредоносного кода на операционной системе Android, который уже скомпрометировал не менее миллиона учётных записей Google и способен попасть на 74% активных Android-смартфонов. Компания предупреждает, что программа Gooligan входит в состав 86 Android-приложений в сторонних магазинах. После установки на устройство эти приложения выполняют рут для получения полного доступа к системе и пытаются развернуть вредоносную программу, которая способна красть метки авторизации учётных записей Google.
Это даёт злоумышленникам полный контроль над аккаунтами Google. Если на уязвимых аппаратах установлены приложения Gmail, Google Drive, Google Chrome, YouTube, Google Фото и прочие программы Google, которые пользуются учётной записью, шанс на успех атаки повышается.
Вредоносная программа способна инфицировать устройства на версиях Android 4 (Ice Cream Sandwich, Jelly Bean, KitKat) и Android 5 Lollipop. На долю этих двух версий сейчас приходится 74% активных Android-устройств.
Gooligan основывается на вредоносном приложении Ghost Push, появившемся осенью 2015 года. Новая версия намного агрессивнее и использует больше приложений для своего распространения. Пострадали уже около миллиона учётных записей и это может быть только начало.
В посте в социальной сети Google+ (от которой программа также пытается украсть метки авторизации) инженер по безопасности Android Эдриан Людвиг пишет, что Google известно о существовании Gooligan и ведётся работа над несколькими инструментами для защиты пользователей.
Компания уже внесла изменения в метки учётной записи Google пострадавших устройств и теперь предоставляет инструкция для входа в эти учётные записи. Также она пытается закрыть доступ данной программе совместно с провайдерами, на серверах которых она находится. Все связанные с вредоносным приложением программы были убраны из Google Play, однако большая их часть находится в сторонних магазинах.
Наконец, Google и Check Point выпустили инструмент проверки, инфицировано устройство этой угрозой или нет. Желающие могут скачать Gooligan Checker, потребуется ввести адрес электронной почты. Google обновила также функцию сканирования Verify Apps, которая не позволяет устанавливать инфицированные приложения даже из сторонних магазинов.