Az új rosszindulatú kampány neve Gooligan, beférkőzik az Android eszközökbe, és ellopja az email címeket, valamint az azokban tárolt hitelesítő tokeneket. Ezen információkkal a támadók hozzáférhetnek a felhasználónak a Gmail, a Google Photos, a Google Docs, a Google Play, a Google Drive, és a G Suite felületeken tárolt érzékeny adataihoz.

„Az egy milliónál is több Google-fiók feltörése riasztó, és a cyber-támadások következő szintjét reprezentálja,” - mondta Michael Shaulov, a Check Point mobil termékekért felelős vezetője. „A hacker-stratégiák átalakulásának vagyunk szemtanúi, akik mobil eszközöket kezdtek támadni a rajtuk tárolt érzékeny információk megszerzéséért.”

A legfontosabb információk:

• A támadás napi szinten 13.000 eszközt érint, és az első, mely 1 milliónál több készülékbe férkőzött be.
• Világszerte email címek százai kapcsolódnak vállalati fiókokhoz. 
• A Gooligan az Android 4 (Jelly Bean, KitKat) és 5 (Lollipop) eszközöket veszi célba, melyek a ma használt Android készülékek 74%-át teszik ki.
• Azt követően, hogy a támadók átveszik a készülék irányítását, csalárd módon Google Play appokat telepítenek rá, és az áldozat nevében osztályozzák őket. 
• Napi szinten a Gooligan legalább 30.000 appot telepít a megfertőzött készülékekre; az indulása óta több mint 2 millió appot telepített.

A Check Point azonnal felvette a kapcsolatot a Google biztonsági csapatával a kampánnyal kapcsolatos információk kapcsán. 

„Nagyra értékeljük a Check Point együttműködését, melynek alapján együtt tudtunk működni, hogy ezen problémákat megértsük és ellenlépéseket tegyünk. A felhasználóknak a Ghost Push rosszindulatú programcsaláddal szembeni védelme érdekben tett folyamatos tevékenységünk részeként számos lépést tettünk annak érdekében, hogy javítsuk a teljes Android ökoszisztéma biztonságát” - mondta Adrian Ludwig, a Google Android biztonságért felelős igazgatója. Többek között, a Google felvette a kapcsolatot az értintett felhasználókkal és törölte tokenjeiket, eltávolította a Ghost Push családhoz köthetően települt Google Play appokat, és új védelmi elemekkel bővítette Verify Apps technológiáját.

A Check Point mobil kutató csoportja első alkalommal még tavaly találkozott a Gooligan kóddal a rosszindulatú SnapPea alkalmazásban. 2016 augusztusában a rosszindulatú program egy új variánssal jelent meg, és azóta legalább napi 13.000 készüléket fertőzött meg. Ezeknek körülbelül 57%-a Ázsiában, 9%-a Európában található. A megtámadott email címek százai világszerte különböző vállalatokhoz kapcsolódnak. A fertőzés azzal indul, hogy a felhasználó letölti és telepíti a Gooligannel fertőzött appot egy sérülékeny Android készülékre, vagy pedig ráklikkel egy támadó üzenetben kapott rosszindulatú linkre. 

A Check Point egy ingyenesen elérhető, online eszközt kínál, mellyel a felhasználók ellenőrizhetik, hogy támadás érte-e fiókjukat. „Ha a fiókja megfertőződött, a mobil eszköz operációs rendszerének újratelepítésére van szükség. Ennek az összetett folyamatnak a neve ’flashing’: azt javasoljuk, hogy kapcsolja ki készülékét és keressen fel egy hitelesített technikust, vagy a mobilszolgáltatóját, hogy rendbe hozza a készülékét” - tette hozzá Shaulov.