Специалисты компании Check Point предупредили о новой угрозе для Android-устройств. Вредонос Gooligan знаком специалистам не первый год, его также называют Ghost Push, MonkeyTest и Xinyinhe. Исследователи обнаружили, что малварь вернулась к активным действиям и научилась похищать аутентификационные токены.

Отчет Check Point гласит, что для распространения Gooligan использует вредоносные приложения, которые размещаются в неофициальных каталогах и на различных сайтах. Проникнув на устройство, вредонос связывается с управляющим сервером и скачивает руткит, который гарантирует малвари устойчивое присутствие в системе, а также комплектуется пятью эксплоитами, позволяющими получить root-права на устройстве. Некоторые из этих эксплоитов хорошо известны, к примеру, VROOT (CVE-2013-6282) и Towelroot (CVE-2014-3153), которые способны добиться root-привилегий на девайсах с Android 4 (Jelly Bean, KitKat) и 5 (Lollipop) на борту. Стоит отметить, что эти версии ОС используют порядка 74% всех Android-устройств в мире.

Получив root-права, Gooligan устанавливает приложения из официального каталога Google App Store, а также оставляет им хорошие отзывы. Авторам малвари платят за каждую такую установку и подъем рейтинга. Кроме того, на устройство проникает adware, то есть жертве показывают навязчивую рекламу, что тоже приносит создателям вредоноса финансовую выгоду.