Le malware Gooligan a déjà infecté 1 million de comptes Google (Android)

Publié le jeudi 01 décembre 2016 17h40
Il va sans doute falloir regarder à deux fois ce que vous avez comme application sur votre Smartphone Android, selon CheckPoint un logiciel malveillant baptisé « Gooligan » aurait déjà compromis plus d’un million de comptes Google et ne cesserait de se propager.
Test compte Google Android CheckPoint

Gooligan : le pire malware sous Android ?

Si vous êtes l’heureux propriétaire d’un Smartphone sous Android avec un compte Google actif installé sur ce dernier, il va falloir sans doute falloir vérifier que les applications que vous avez récemment téléchargées ne sont pas infectées par le malware « Gooligan ». C’est CheckPoint qui tire la sonnette d’alarme en annonçant que plus d’un million de comptes aurait été compromis et que le malware continuerait à se diffuser à raison de 13 000 appareils par jour. Et pour savoir si vous pourriez être infecté, selon la Firme, « Gooligan affecte potentiellement les périphériques Android 4 (Jelly Bean, KitKat) et 5 (Lollipop), ce qui représente plus de 74% des appareils dans le marché aujourd'hui. Environ 57% de ces appareils sont situés en Asie et environ 9% sont en Europe. », soit plus de 7 Smartphones sur 10 dans le monde entier.

Publicité

Comment se propage Gooligan ?

Selon la Firme, les applications embarquant le code malveillant se trouvent sur les sites alternatifs au Google Play et non sur le Store en lui-même, des dizaines d'applications légitimes seraient potentiellement infectées. Bien souvent ces « magasins » alternatifs permettent de télécharger des applications gratuites ou bien de récupérer des versions gratuites d'applications payantes. De plus, Gooligan peut aussi se propager par phishing avec des liens vers des applications infectées que les utilisateurs peuvent recevoir par SMS ou par mail.

Une fois l’application téléchargée et installée, celle-ci récupère sur un serveur un rootkit qui outrepasse les droits sur le Smarphone en profitant des multiples failles présentes sur Android 4 et 5 exploits comme VROOT CVE-2013-6282) et Towelroot (CVE-2.014 à 3.153). Une fois l’installation du rootkit réussi l'attaquant a le plein contrôle de l'appareil et peut alors exécuter des commandes privilégiées à distance. Il commence par installer un second programme malveillant afin de prendre le contrôle du compte sur le Play Store pour ensuite récupérer les informations de compte de messagerie, installer d’autres applications et les évaluer à la place de l’utilisateur, mais aussi installer d’autres adwares afin de générer des revenus. Gooligan installe au moins 30 000 applications frauduleusement chaque jour sur les appareils infectés et depuis sa découverte en aout dernier, il a déjà installé plus de 2 millions d'applications.

En cas d’infection avérée, votre compte utilisateur est compromis et les personnes à l’origine de ce malware peuvent aussi accéder à tous les services Google liés à l'utilisateur, y compris Google Play, Gmail, Google Docs, Google Drive et Google Photos.

Comment savoir si je suis infecté par Gooligan ?

Google serait en train de travailler avec CheckPoint afin de trouver une solution, Gooligan est sans aucun doute à ce jour le malware qui a compromis le plus grand nombre de comptes utilisateurs Google. En attendant qu’un patch soit trouvé, CheckPoint a mis en place sur son site internet un service gratuit qui permet de savoir si votre compte a été piraté en insérant uniquement votre adresse mail de compte Google : https://gooligan.checkpoint.com/

Si votre compte apparait comme compromis, vous en serez quitte pour changer immédiatement toutes vos informations de connexion (mot de passe…) et surtout vous devrez sans aucun doute effectuer un reset complet de votre Smartphone.

Une menace à prendre très au sérieux et qui n’a sans doute pas finis de faire parler d’elle !
 
chabot thierry
Passionné par les ordinateurs depuis son premier PC-1512, il est l'auteur principal des articles concernant Internet, les OS et les moteurs de recherches. Il répond souvent sur les forums avec le pseudonyme Cthierry pour proposer des solutions.

FacebookTwitterLinkedin
Vous avez aimé cet article ? Partagez-le !