Theo Check Point, Gooligan xuất hiện đầu tiên trong tháng 8 và hiện đang lan truyền với tốc độ xâm nhập khoảng 13.000 thiết bị mỗi ngày. Mục tiêu phần mềm độc hại là nhắm vào lỗ hổng có trong các phiên bản Android 4 và 5 (Jelly Bean, KitKat và Lollipop), lây lan thông qua các ứng dụng dường như hợp pháp trong các chợ ứng dụng bên thứ ba.
Hơn một nửa thiết bị bị ảnh hưởng ở chây Á, nơi các ứng dụng bên thứ ba đặc biệt phổ biến. Một số ứng dụng được liệt kê ảnh hưởng theo dữ liệu của Check Point gồm có từ những trò chơi đơn giản như Slots Mania cho đến ứng dụng đáng ngờ là Sex Photo.
Phần mềm độc hại lợi dụng 2 lỗ hổng được biết đến trong nhân Linux, cho phép nó kiểm soát các thiết bị của người dùng khi một ứng dụng đã được cài đặt. Từ đó, phần mềm độc hại có thể truy cập rộng hơn vào tài khoản Google của người dùng, bao gồm Gmail, Drive và Photos.
Theo Google, phần mềm độc hại không truy cập vào bất kỳ email cá nhân hoặc tập tin. Khi nhóm an ninh Android quét các tài khoản bị ảnh hưởng, họ không tìm thấy bằng chứng nào về việc phần mềm độc hại truy cập hoặc sử dụng tài khoản để gian lận. Cũng không có bằng chứng về việc phần mềm độc hại nhắm mục tiêu vào người dùng hoặc tổ chức đặc biệt nào.
Thay vào đó, tác giả phần mềm độc hại đang sử dụng quyền hạn của mình để nâng bảng xếp hạng trò chơi trên Google Play. Thay vì tải hộp thư đến hoặc tài khoản Drive, phần mềm độc hại cài đặt các ứng dụng không độc hại từ Google Play Store và để xếp hạng 5 sao cho mỗi ứng dụng. Hơn một triệu thiết bị ảnh hưởng bởi vấn đề, kết quả dẫn đến cú nhảy vọt của nhiều ứng dụng trong Google Play Store.
Đây không phải là lần đầu tiên tội phạm trực tuyến sử dụng phần mềm độc hại để tăng thứ hạng của một ứng dụng. Năm ngoái, một gia đình ứng dụng từ Brain Test đã thử một chiến thuật tương tự, nhưng sau đó đã được Google gỡ bỏ khi phát hiện. Google tích cực quét các ứng dụng có hại trong Play Store, nhưng nếu ứng dụng được cho là không độc hại thì chúng hoàn toàn có thể tránh việc quét.
Bạn có thể kiểm tra xem thiết bị của bạn đã bị nhiễm Gooligan hay chưa bằng cách sử dụng công cụ kiểm tra của Check Point tại địa chỉ https://gooligan.checkpoint.com/. Nếu có bằng chứng bị tấn công, hãy thiết lập lại hệ thống để loại bỏ nó hoàn toàn.
An Nhiên theo The Verge