Check Point je odmah kontaktirao Google i počeo surađivati s njima u krpanju problema i pronalaženju izvora zaraze, jer se prema njihovim podacima dnevno zarazi čak 13 tisuća uređaja. Malware s inficiranih uređaja krade podatke s Google Playa, Gmaila, Photos, Docs, G Suitea, Drivea i drugih Google servisa.

Glavni cilj ovog malwarea nije tek krađa računa - već prisiljavanje korisnika na instaliranje aplikacija u sklopu goleme marketinške prijevare, koja hakerima donosi oko 320 tisuća dolara mjesečno i raste s brojem inficiranih uređaja.

Maliciozni kod roota uređaje korištenjem poznatih ranjivosti (VROOT i Twoelroot), čime Googleov Android postaje 'otvorenom knjigom', navode istraživači.

Sigurnosna tvrtka je otkrila i online alat kojim korisnici mogu provjeriti jesu li među računima u koje je provaljeno. Više tehničkih detalja o cijeloj priči moguće je pronaći na stranicama tvrtke Check Point.

Službeno se oglasio i Google. Navode kako od 2014. godine njihov sigurnosni tim prati skupinu malicioznih komada nazvanih 'Ghost Push'. Oni su uglavnom instalirani van Google Play trgovine aplikacijama te počnu proces preuzimanja dodatnih aplikacija na korisnikov uređaj. 'Ghost Push' je evoluirao u više navrata, a čini se kako je Gooligan dio te priče.

Ono što za sada priopćavaju iz Googlea jest da nema tragova da su korisnički podaci ugroženi, u smislu da se njima pristupalo. Google je koristio automatizirane alate i sve informacije do sada upućuju na to da se, usprkos krađi računa, ovaj maliciozni kod ne bavi time, već promoviranjem aplikacija kako bi hakeri zaradili.

Istovremeno navode i kako uklanjaju aplikacije iz Google Play trgovine za koje se pokazalo da imaju veze s Gooliganom i osnažuju sigurnost Android ekosustava. Više o svemu moguće je pročitati ovdje