Passer au contenu

Le malware Gooligan compromet plus d’un million de comptes Google

S’attaquant aux versions 4 et 5 d’Android, Gooligan prend le contrôle des smartphones et des tablettes pour pirater les comptes des utilisateurs et installer des applications depuis le Play Store. Le but: la promotion frauduleuse d’applis.

Les chercheurs de la société de sécurité Check Point Software Technologies ont révélé l’existence d’un nouveau malware qui s’attaque aux appareils Android. Baptisé Gooligan, il concerne les versions 4 (Ice Cream Sandwich, Jelly Bean et KitKat) et 5 (Lollipop) du système d’exploitation de Google, soit environ 74% des machines Android du marché, et arrive à obtenir des privilèges élevés en débloquant l’appareil (technique du rooting).

Une fois le smartphone ou la tablette infecté, le pirate installe à distance des outils pour intercepter les jetons d’authentification du compte Google. Ce qui lui permettrait, en théorie, d’accéder à Gmail, Google Photos, Google Drive, Google Docs, etc. Mais les données des utilisateurs ne semblent pas vraiment  intéresser les pirates. L’accès au compte Google leur sert à télécharger des applications depuis le Google Play Store et donner des notes. Pour tromper la boutique de Google, le malware est capable d’imiter de façon logicielle le comportement d’un vrai utilisateur. Un technique que l’on avait déjà vu en juillet dernier, avec le malware HummingBad. Parallèlement, les pirates de Gooligan installent sur le terminal des logiciels pour afficher des publicités.  

Selon Check Point Software Technologies, plus d’un million de comptes ont ainsi été piratés, dont 57% en Asie, 19% en Amérique, 9% en Europe et 15% en Afrique. Pire encore, le nombre continue à augmenter avec 13 000 appareils compromis par jour. Seule consolation, un site permet de savoir rapidement si un compte Google est compromis ou non.

La technique d’infection est plutôt classique : soit par une application frauduleuse, soit par un courrier électronique, voire un SMS, de type phishing, qui contient un lien vers une application infectée. Les applications officielles du Google Play Store ne sont en général pas concernées mais il existe des magasins alternatifs qui proposent des applis souvent gratuites, mais aussi souvent vérolées. Les chercheurs de Check Point ont ainsi recensés 86 applications contenant Gooligan.

Chez Google, Adrian Ludwig, l’ingénieur en chef de la sécurité pour Android, a indiqué travailler avec Check Point pour lutter contre ce malware, qui entre dans la famille des applications « Ghost Push », spécialisées dans le spam, la fraude au click ou la fraude au téléchargement. Google confirme que les Gooligan ne vole pas d’informations mais se limite à la pub et à la promotion d’applications. Le géant du web a néanmoins renforcé le service Verify Apps d’Android pour détecter la présence de Gooligan sur les appareils et prévenir l’utilisateur.

Sources : Check Point Software Technologies, Adrian Ludwig

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


François BEDIN