Вам приходит сообщение с приложением. Оно может придти от хорошо знакомого вам человека, если его аккаунт уже взломан. Это не вирус, поэтому он вряд ли быстро заметит, что аккаунт взломан. При попытке открыть приложение перед вами появится страница Гугла:

Так как гмейл действительно периодически требует пароль при новом подключении на том же компьютере, многие заполняют эти графы. Ну, тут-то вам и крышка. Ваш гмейл взломан. На вид эта страница неотличима от настоящей. В адресной строке, однако, стоит

а не

Я не вполне уверен, что зелёненький https реально имеет должный цвет на всех безопасных сайтах, как они говорят. Но так или иначе, нельзя вводить пароль в окно гугла, если сессия гмейла уже была открыта. Это не гугл. Это фишинг.
Теперь ответ - уже мой - на вопрос "а что они мне могут сделать?" Вопрос возникает у тех, у кого ничего ценного на компе нет. Ну так вот я своими глазами видел, что они могут сделать. Сколько-то лет назад, когда Вася Бетаки был жив, я сидел вечером у ленкиного компа. У меня был открыт Гуглток. И вдруг я вижу сообщение от Васи, что ему срочно нужны деньги. Вася сидит рядом за столом и никаких денег не просит. А сообщение печатается у меня на глазах. Нам очень повезло: оно не успело распространиться по васиной адресной книжке, я немедленно закрыл васину сессию, сменил ему пароль, из интереса обнаружил, что подключался хакер из Казахстана, но вот, пожалуйста, к нему как-то залезли и могли бы причинить вред. В принципе дальше можно распространять вирусы, писать от имени человека, взламывать другие аккаунты и пр.