Un nouveau malware fait parler de lui sur Android : Gooligan. Il infecte les appareils sous Android 4 et 5 et aurait à ce jour permis le piratage de plus d’un million de comptes Google, dérobant des informations personnelles, provoquant des achats sur le Store et installant des adwares.
Les méfaits de Gooligan ont été révélés par la société de sécurité Check Point. Elle indique que le rythme d’infection de ce malware est de 13 000 nouveaux appareils par jour, prouvant sa virulence. Il se répand dans les boutiques tierces d’applications, Check Point ayant trouvé le même code malveillant dans plusieurs applications. Il ne semble pas s’être répandu dans le Play Store, sur lequel veille normalement Google.
Droits root, piratage de comptes et achats sur le Store
Si l’utilisateur déclenche l’installation et valide les droits réclamés par l’application frelatée, le malware se met en position et « roote » l’appareil. Dès lors, il dispose des pleins pouvoirs pour accomplir ses besognes. Il s’adresse immédiatement à son serveur de commande et contrôle (C&C) pour expédier certaines informations sur le modèle de l’appareil mobile. Parallèlement, le pirate dispose d’un point d’ancrage pour exécuter n’importe quelle commande distante.
Après quoi, il passe à la phase suivante. Gooligan disposant de tous les droits, il s’en sert pour dérober la liste des comptes emails et des jetons de sécurité pour leur authentification. Les pirates sont alors en mesure de pirater le compte Google et l’ensemble des applications qui l’exploitent, comme Gmail, Photos, Docs, Drive, l’ensemble de la G Suite et surtout le Play Store.
Ce piratage s’accompagne d’activités de fraude, dans la ligne directe de ce que dénonçait récemment Google : les faux avis sur le Store. Gooligan déclenche en effet des achats sur le Play Store en direction de certaines applications, pour lesquelles il laisse en retour des notes élevées et des critiques élogieuses. Les applications en elles-mêmes ne sont pas dangereuses, mais l’utilisateur en sera de sa poche. Parallèlement, le malware installe des adwares pour générer des revenus liés à la publicité.
Tous les Android 4.X et 5.X sont concernés
Check Point indique être en relation avec Google pour enquêter sur la source de Gooligan. La société de sécurité précise d’ailleurs que le malware n’est pas nouveau en soi : c’est une variante d’un autre code malveillant découvert dans une application l’année dernière. Mais la campagne menée par Gooligan, débutée en août dernier, va beaucoup plus loin, et un million de comptes Google ont déjà été piratés, 57 % résidant en Asie, 19 % sur le continent américain, 15 % en Afrique et 9 % en Europe. En d’autres termes, le malware est présent sur l’ensemble de la planète.
Il dispose en fait d’un immense réservoir d’infections potentielles. Il exploite en effet des failles déjà connues, notamment VROOT (CVE-2013-6282) et Towelroot (CVE-2014-3153). Des brèches corrigées depuis longtemps, mais uniquement sur des versions plus récentes d’Android. Or, sur toutes les moutures 4.X et 5.X, ces failles restent ouvertes.
Un nombre écrasant de smartphones laissés à l'abandon
Une situation qui illustre encore une fois les éternels problèmes des vieilles versions d’Android laissées à l’abandon par les constructeurs, quand ce n’est pas tout simplement par Google après un certain temps. Dans le cas de Gooligan, les versions concernées représentent à elles seules les trois quarts du parc Android existant, soit des centaines de millions d’appareils.
Bien entendu, utiliser un appareil vulnérable ne conduit pas automatiquement à l’infection par le malware, qui ne se répand a priori que dans les boutiques tierces. Tant que les utilisateurs se contentent du Play Store et n’autorisent pas les installations depuis d’autres sources, ils devraient éviter l’orage.
En cas d'infection, il faudra flasher l'appareil
Check Point indique également avoir mis en place un outil en ligne pour vérifier si le malware est présent sur un appareil, Gooligan Checker. Quant aux mesures à adopter si tel est le cas, il n’y aura aucun miracle : la société recommande de flasher l’appareil avec la dernière version d’Android disponible pour celui-ci. Une opération qui effacera complètement le contenu de la mémoire interne, et qu’il faudra peut-être faire réaliser par un technicien adapté.
Enfin, les intéressés pourront consulter le billet complet de Check Point, qui liste notamment l’ensemble des fausses applications infectées par Gooligan.
