Particulièrement actif ces derniers jours, le malware Gooligan cible les terminaux exécutant Android 4 et 5 pour accéder avec succès aux comptes Google des utilisateurs. Selon la société CheckPoint, plus d’un million de comptes auraient déjà été compromis. Et chaque jour, 13 000 comptes supplémentaires sont concernés. « Nous croyons que c'est la plus grande violation de comptes Google à ce jour », a déclaré sur son blog la firme de sécurité israélienne.

Les versions d'Android 4.1 à 5.1 sont encore très utilisées, notamment sur les tablettes asiatiques - comme la M2 10 de Huawei - qui ne bénéficient pas des dernières mises à jour d’Android. La version 7.1 vient d’ailleurs d’arriver pour les terminaux de la firme avec les derniers correctifs de sécurité. Pour les autres, la patience est de mise avec les problèmes de sécurité qui sont engendrés par ces mises à jour très tardives. A la différence d’Apple, la fragmentation d’Android est un des grands problèmes de Google.

Les tokens interceptés et stockés par Gooligan 

Gooligan réussit à compromettre la sécurité de Google en se faisant passer pour des applications Android légitimes pour dérober les tokens (jetons d'authentification) Google de l’utilisateur afin d'accéder à Gmail ou Google Play. Checkpoint a ainsi recensé 86 apps, dont beaucoup sont proposées sur des magasins d'applications tierces, qui contiennent le code malveillant. Une fois Gooligan installé, il tente de prendre le contrôle total du terminal. Les logiciels malveillants réussissent à le faire en exploitant les nombreuses vulnérabilités bien connues des anciennes versions d'Android.

CheckPoint a monté un site web pour vérifier si son compte Google a été compromis.

« Ces exploits affectent aujourd'hui encore beaucoup de dispositifs car les correctifs de sécurité qui les corrigent ne peuvent ne pas être disponibles pour certaines versions d'Android, ou les correctifs n'ont jamais été installés par l'utilisateur », a précisé Checkpoint. Sur le million de comptes Google compromis, 19% se trouvaient sur le continent américain, 9% en Europe, tandis que 57% étaient concentrés en Asie, selon Checkpoint.

Des apps installées à l'insu des utilisateurs 

En accédant aux comptes Google des utilisateurs, le logiciel malveillant tente probablement de générer des revenus pour ses créateurs. Pour ce faire, il installe des applications promues par des réseaux publicitaires légitimes, puis inscrits des commentaires positifs sur les comptes Google Play avec l’identité des utilisateurs. « Un attaquant est payé par le réseau lorsqu'une de ces applications est installée avec succès », a déclaré Checkpoint.

Les chercheurs en sécurité ont repéré l’année dernière une version antérieure de Gooligan, quand elle est apparue dans l'application malveillante SnapPea. Ce n'est que l'été dernier que les logiciels malveillants ont réapparu avec les processus de mise à niveau. Checkpoint a publié un site web qui permet aux utilisateurs de vérifier si leur compte Google a été violé par Gooligan. Les experts en sécurité avertissent également les utilisateurs qu’ils devraient éviter de télécharger des apps à partir de magasins d'applications tierces. Les créateurs de Gooligan diffusent également les logiciels malveillants en envoyant des SMS à des victimes sans méfiance contenant des liens pour télécharger des applications intégrant le codage nuisible.