Троянец распространяется под видом приложений (например, Slots Mania или Sex Photo), загружаемых пользователями из сторонних магазинов. Попав на смартфон, Gooligan эксплуатирует уязвимости ядра Linux в версиях Android 4 и 5 (Jelly Bean, KitKat и Marshmallow), что позволяет ему завладеть полным контролем над устройством жертвы. Как выяснили специалисты, больше половины заражений приходится на Азию, где популярны неофициальные репозитории программ.
Помимо прочего вредоносное ПО умеет перехватывать жетон авторизации Google, получая доступ к почте Gmail, "Диску Google" и фотографиям. Однако Gooligan не компрометирует личные данные пользователя, такие как файлы или электронные письма, и не крадет конфиденциальную информацию.
Вместо этого он устанавливает другие программы из Google Play и ставит им 5-звездочный рейтинг. А с учетом количества зараженных Android-смартфонов, хакеры могут помочь заказчику очень быстро продвинуть его приложение на верхние позиции официального магазина.
Избавиться от Gooligan можно только путем полной переустановки системы. Интернет-поисковик уже давно залатал уязвимость в старых версиях ОС, но из-за фрагментированной экосистемы заплатка попала только на четверть Android-устройств во всем мире.