Le malware Gooligan a compromis la sécurité d’1 million de comptes Google et pourrait éventuellement compromettre environ 74 pour cent des appareils Android, selon une société de cybersécurité.
Plus d’un million de comptes Google ont été détournés par un malware appelé «Gooligan», selon Google et une société de cybersécurité.
« Le nombre continue d’augmenter avec 13.000 dispositifs compromis chaque jour », a déclaré la firme de cybersécurité Check Point, qui a découvert l’attaque et qui travaille avec Google pour la combattre. D’après elle, les comptes infectés appartiennent à des entreprises plutôt qu’à des utilisateurs individuels.
Gooligan a volé des jetons d’authentification – codes d’identité électroniques pour les utilisateurs – qui « peuvent être utilisés pour accéder aux données de Google Play, Gmail, Google Photos, Google Documents, G Suite, Google Drive et plus », selon Check Point.
Les infections se sont produites par le biais d’applications «légitimes» sur des boutiques d’applications Android tierces et pourraient également se produire par le biais d’attaques de type phishing où les attaquants diffusent des liens vers des applications infectées à des utilisateurs non méfiants, par SMS ou par d’autres services de messagerie.
Selon Google, si les informations de connexion des utilisateurs sont récupérées, les pirates derrière Gooligan ne semblent pas voler le contenu de Play, Photos, Gmail, Docs, Drive ou G Suite.
« Nous avons utilisé des outils automatisés pour rechercher des signes d’autres activités frauduleuses au sein des comptes Google affectés », a déclaré Adrian Ludwig, directeur de la sécurité pour Android, dans un article publié le 29 novembre. « Aucun n’a été trouvé. »
Gooligan est utilisé pour générer de l’argent à partir des comptes compromis, soutiennent Check Point et Google. Le logiciel malveillant installe sur les dispositifs des victimes des applications frauduleuses de Play, ce qui déclenche un paiement pour les créateurs du malware.
«Chaque jour, Gooligan installe au moins 30 000 applications de manière frauduleuse sur des périphériques infectés», a déclaré Check Point.
Gooligan vient d’une famille de logiciels malveillants connue sous le nom de « Ghost Push », un ensemble de malwares qui téléchargent des applications à l’insu de l’utilisateur, précise Ludwig. Son équipe a suivi les logiciels malveillants Ghost Push depuis 2014, et rien qu’en 2015, ils ont trouvé plus de 40 000 applications associées à Ghost Push.
Les personnes vulnérables aux logiciels malveillants sont les utilisateurs qui utilisent les systèmes d’exploitation Android Jelly Bean, KitKat et Lollipop – environ les trois quarts des utilisateurs, selon Check Point. Près de 60% des appareils infectés sont situés en Asie, tandis que les autres se trouvent sur le continent américain.
Check Point a compilé une liste d’applications fausses infectées par Gooligan, et offre également un outil que les utilisateurs peuvent utiliser pour voir si leur compte a été infecté.
Une campagne de logiciels malveillants similaire l’année dernière a fait gagner 320 000 $ par mois aux cybercriminels, a rapporté Forbes le 30 novembre. Michael Shaulov de Check Point a dit à Forbes qu’il croyait que les criminels qui gèrent Gooligan récupèrent des sommes similaires chaque mois.
