Reklama

Działanie złośliwego oprogramowania wygląda w następujący sposób: aplikacja, która początkowo wydaje się prawdziwa (jest ich w sklepie Google co najmniej 86), po ściągnięciu na pamięć urządzenia rozpoczyna proces rootowania. Przy okazji przypisuje sobie prawa administratora telefonu i może wykonać wszystkie operacje z większymi uprawnieniami niż przeciętny użytkownik.

Po nadaniu sobie uprawnień, Gooligan łączy się z serwerem Command and Control (C&C), z którego pobiera złośliwe moduły na pamięć telefonu. Później te moduły w postaci linijek kodu są wstrzykiwane w aplikacje typu Google Play czy Google Mobile Services, co pozwala Gooliganowi naśladować ruchy użytkownika, unikając wykrycia.

Czytaj też: Trojan bankowy obchodzi zabezpieczenia Androida Marshmallow

Tak zadomowiony robak zaczyna pobierać wszystkie nasze wrażliwe dane, dostęp do usług Google czy nawet wykrada tokeny autoryzacyjne do aplikacji użytkownika – banki, menadżery haseł czy sklepy internetowe. Największe zagrożenie, według firmy CheckPoint, która odkryła działalność Gooligana, występuje obecnie w Azji, gdzie znajduje się 57 proc. z zainfekowanych miliona urządzeń (w Europie to zaledwie 9 proc. telefonów). Złośliwe oprogramowanie do swojego działania wykorzystuje znane luki VROOT (CVE-2013-6282) and Towelroot (CVE-2014-3153), obecne na telefonach wyposażonych w system Android 4 i 5.

Jedynym rozwiązaniem na pozbycie się tego oprogramowania jest przeinstalowanie systemu na telefonach Android tzw. flashing. W tym celu najlepiej udać się do najbliższego punktu naprawy telefonów, punktu producenta urządzenia lub poprosić o pomoc swojego operatora telekomunikacyjnego. W przypadku niektórych producentów takie rozwiązanie powoduje utratę gwarancji, niektórzy producenci udostępniają swój system na stronach www.

Reklama
Reklama

Komentarze