Gooligan atakuje urządzenia ze starszym systemem Android – Jelly Bean (4.1, 4.2, 4.3), KitKat (4.4) oraz Lollipop (5.0, 5.1). Infekcja następuje w trakcie instalowania aplikacji z zewnętrznych sklepów i stron internetowych.
Gdy szkodnik przedostanie się na urządzenie, próbuje zrootować system, by uzyskać uprawnienia administratora. Następnie wykrada dane dostępowe do konta Gmail, dzięki czemu uzyskuje dostęp do takich usług, jak Zdjęcia Google, Google Play, Dysk Google czy Dokumenty Google.
Ostatnim działaniem Gooligana jest wstrzyknięcie złośliwego kodu w Google Play, przez co na urządzenie pobierane są aplikacje, które następnie są przez niego oceniane, by podnieść ich wiarygodność. Niektóre z nich są wirusami typu adware, wyświetlającymi reklamy.
Gooligan działa pod różną formą od sierpnia 2016 roku. Od tamtej pory udało mu się wykraść dane dostępowe do ponad miliona kont Google. To jeden z najbardziej aktywnie działających wirusów na Androidzie.
Źródło: Check Point