Pour gérer vos consentements :

Gooligan : malware opportuniste et fraude au clic sur Android

S’installer sur les terminaux Android, prendre le contrôle des services Google, puis télécharger des applications depuis le Play Store et générer de faux clics sur les publicités qui s’y affichent : ainsi Check Point résume-t-il la raison d’être de Gooligan.

L’éditeur d’origine israélienne, fournisseur de solutions de sécurité informatique, a mis le doigt sur ce malware qui aurait déjà fait un million de victimes et dont la propagation se poursuivrait actuellement au rythme de 13 000 appareils infectés par jour.

Gooligan n’est pas inconnu au bataillon. Il s’agit en fait de l’évolution d’un logiciel malveillant repéré l’année passée dans une application baptisée SnapPea. Il appartient d’ailleurs, selon la définition qu’en donne Google, à la même famille : Ghost Push.

Le groupe Internet américain dit avoir supprimé, rien qu’en 2015, plus de 40 000 applications contaminées rattachées à cette famille de malware qui exploitent des failles telles que VROOT (CVE-2013-6282) et Towelroot (CVE-2014-3153) pour installer un rootkit sur les appareils vulnérables.

Gooligan est diffusé aussi bien par le biais des places de marché tierces (autres que le Play Store) que par l’intermédiaire de campagnes de phishing. Il menace potentiellement tous les terminaux Android qui ne tournent pas sous les versions 6.0 « Marshmallow » ou 7.0 « Nougat ». C’est-à-dire les trois quarts du parc actuel, selon les dernières statistiques de Google.

Chasse aux bannières

Dans la pratique, ne sont exposés que les appareils qui n’ont pas bénéficié de correctifs pour les failles susmentionnées.

Une fois le rootkit installé, Gooligan télécharge un module supplémentaire qui récupère le jeton de session stocké sur l’appareil après que l’utilisateur s’est authentifié avec succès. Il peut alors injecter du code dans les services Google… et télécharger des applications.

Ces applications, il est capable de les installer plusieurs fois sur le même terminal, sans éveiller les soupçons. Comment ? En masquant certains identifiants en théorie uniques, comme l’IMEI (équivalent d’un numéro de série) et l’IMSI (utilisé par les réseaux mobiles pour identifier un usager).

Après examen, Google confirme que l’objectif de Gooligan n’est pas de voler des données, mais de simuler des clics sur les bannières qui s’affichent dans les applications téléchargées. De même, aucune trace de ciblage : tout appareil vulnérable est bon à contaminer.

Check Point évoque « au moins 30 000 installations frauduleuses » par jour et plus de 2 millions depuis le début de la campagne. Le phénomène s’accentue du fait que le malware est capable de laisser des évaluations sur des applications pour les faire remonter dans le classement des stores.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago