Le malware Gooligan terrorise des millions de terminaux Android

Le malware Gooligan dérobe les comptes Google Android et clique sur des publicités pour installer abusivement des applications.

Plus d’un million de comptes Google, dont plusieurs centaines associés à des utilisateurs en entreprise, ont été compromis par une nouvelle famille de malwares Android. Elle a été baptisée Gooligan par Check Point Software qui a repéré la campagne d’infection en août 2016. Laquelle se propage à grande vitesse. L’éditeur de sécurité annonce recenser quelque 13 000 nouvelles compromissions chaque jour.

Une fois en place sur le smartphone, Gooligan est en mesure de dérober les jetons d’identification et accéder aux différents comptes Google de l’utilisateur, de Gmail à Drive en passant par la suite bureautique G Suite, Photo, Play, etc. Comme c’est généralement le cas, l’infection provient de l’installation d’une application compromettante depuis un magasin alternatif à Google Play. Ou encore à travers un lien frauduleux propagé par une campagne de phishing. WiFi Enhancer, Snake, Flashlight Free, YouTube Downloader ou encore Google, des dizaines d’applications aux appellations plus innocentes les unes que les autres. Check Point en dresse la liste en fin de son billet de blog.

Elles contiennent toutes du code issu de SnapPea, une application malveillante qui avait fait une apparition en 2015. « Depuis fin de 2015, les créateurs de logiciels malveillants étaient restés silencieux jusqu’à l’été 2016, avec le retour du malware doté d’une architecture plus complexe qui injecte du code malveillant dans les processus du système Android », indique l’éditeur de sécurité. Une fois en place, Gooligan télécharge un rootkit depuis un serveur de commande et contrôle (C&C) qui s’appuie sur des exploits d’Android comme VROOT (CVE-2013-6282) et Towelroot (CVE-2014-3153). Les attaquants profitent des vulnérabilités de l’OS non corrigées du fait de l’absence des mises à jour appliquées par les utilisateurs du smartphone, pour télécharger un module qui se charge d’injecter du code dans Google Play ou GMS (Google Mobile Services) afin d’imiter le comportement de l’utilisateur et tromper ainsi le système.

9% d’infection en Europe

Pour Check Point, Gooligan affecte avant tout les smartphones sous Android 4 (Jelly Bean, KitKat) et Android 5 (Lollipop) qui représentent environ 74% des terminaux sous l’OS de Google aujourd’hui (avec Android 5.1). De son côté, Dave Palmer, cofondateur et directeur technologique de Darktrace, déclare avoir constaté « des problèmes majeurs avec les derniers systèmes d’exploitation, ce qui nous amène à nous demander si nos appareils sont plus sûrs ». Sans néanmoins nommer précisément Android 6 (Marshmallow) voire Android 7 (Nougat).

La région la plus affectée, et de loin, est l’Asie. Elle y concentre 57% des infections Gooligan. Le continent Américain suit avec 19%, juste devant l’Afrique pour 15%. L’Europe reste la moins touchée mais regroupe néanmoins 9% des membres de l’agent malveillant.

2 millions d’applications installées abusivement

Gooligan effectue ensuite des clics sur des publicités pour des applications diffusées par des réseaux légitimes, et va même jusqu’à leur attribuer une note positive (ce qui remet au passage en cause leur légitimité). Croyant avoir affaire à un vrai utilisateur, les réseaux publicitaires n’y voient que du feu. Les attaquants derrières Gooligan sont alors payés par les auteurs de l’application, via le réseau publicitaire, une fois que celle-ci a été installée illégitimement. Plus de 2 millions se seraient ainsi installées abusivement depuis le début de la campagne annonce Check Point. Quelque 30 000 par jour.

Il reste néanmoins à expliquer sa vitesse de propagation. Check Point déclare y travailler de concert avec Google. En attendant de découvrir la source du mal, et dans l’espoir de limiter les dégâts, la firme de Mountain View a pris des actions comme la révocation des jetons d’identification affectées, des notifications proactives vers les comptes compromis, et l’amélioration de SagetyNet, service d’analyse pour vérifier l’intégrité de la configuration d’un terminal Android.

Il est possible de vérifier l’intégrité d’un compte depuis cette page. En cas d’infection, Check Point recommande une réinstallation complète de l’OS. Et de changer de mot de passe Google. Radical.


Lire également
Le malware Godless prend secrètement la main sur les smartphones Android
DressCode sur Android taille un costume aux réseaux d’entreprises
Inédit : un malware commandé par… Twitter

Photo credit: CyberHades via VisualHunt.com / CC BY-NC