Entdeckt worden ist Gooligan von dem israelischen IT-Sicherheitsunternehmen Check Point. Der Schädling versteckt sich in Apps aus dubiosen Quellen. Und er verbreitet sich per Drive-by-Download, wogegen man ohne Anti-Viren-Software auf dem Handy hilflos ist.

Schadprogramm darf mehr als User

Auf befallenen Geräten verschafft sich Gooligan Root-Rechte, also höhere als die, über die der Besitzer verfügt. Er kapert alle Google-Konten, die er vorfindet, und er lädt heimlich Apps herunter, in denen er unsichtbar auf Werbung klickt und die er in diversen Webshops im Namen seiner Opfer positiv bewertet.

Infizierte Handys werden ferngesteuert

Aktuell schädigt Googligan also vor allem die werbetreibende Kundschaft von dubiosen App-Entwicklern. Aber weil er den Cyberkriminellen, die ihn in die Welt gesetzt haben, die volle Kontrolle über infizierte Geräte verschafft, kann er auch massiv zum Nachteil der Handy-Besitzer eingesetzt werden.

Schutzmaßnahmen

Check Point hat eine Service-Seite ins Netz gestellt, auf der man überprüfen kann, ob Google-Accounts kompromittiert worden sind, und eine Liste verdächtiger Apps. Google erklärt, betroffene Anwender benachrichtigt und gekaperte Accounts gesperrt zu haben. Auf infizierten Handys muss Android neu installiert werden, was man tunlichst einen Experten erledigen lässt.

Schädling verbreitet sich seit dem Sommer

Gooligan verbreitet sich seit August. Seitdem würden täglich 13.000 Geräte neu infiziert, insgesamt eine siebenstellige Zahl.

Die meisten Geräte sind bedroht

Gooligan nutzt die zwei zentralen Defizite von Android: Der User wird weitgehend ausgesperrt. Und die Geräte-Anbieter, die vollen Zugriff haben, kümmern sich nicht um die Sicherheit. Betroffen von den Sicherheitslücken, durch die Gooligan schlüpft, sind denn auch nur Handys unter den relativ alten Android-Varianten Jelly Bean, Kitkat und Lollipop. Darunter allerdings laufen drei Viertel aller im Einsatz befindlichen Smartphones und Tabletts, weil die Hersteller kein Update anbieten. In Marshmallow und Nougat sind die Sicherheitslücken gestopft.

Gooligan stiehlt Token

Auch auf Google-Konten kann Gooligan effektiver zugreifen als Android-Anwender. Letztere müssen ID und Passwort eingeben, dann schließt ihnen ein sogenannter Token das Konto quasi auf. Gooligan wiederum hat diese Token einfach gekapert.

Android-Geräte brauchen Schutz-Software

Google hat erklärt, man habe Schutzvorkehrungen gegen Gooligan in die geheimnisumwitterte Verify-Apps-Funktion eingebaut, die auf allen neueren Geräten aktiv ist. Anwender sollten sich nicht darauf verlassen, sondern statt dessen lieber ein Anti-Viren-Programm installieren. Vom Prinzip her sind Handy-Betriebssysteme sicherer als PCs, deren Systemsoftware entstand, lange bevor es das World Wide Web gab. Das gilt mittlerweile aber nicht mehr für Android.