La société de sécurité Check Point a révélé une nouvelle campagne de logiciels malveillants impliquant l'utilisation d'applications malveillantes pour rooter des appareils Android, voler des jetons d'authentification Google, accumuler illégalement des numéros d'installation et analyser les scores d'autres applications.
Le logiciel malveillant, baptisé "Gooligan" par Check Point, utilise des vulnérabilités connues pour obtenir un accès root - contrôle total - sur les appareils exécutant Android 4.x et 5.x, avant de l'utiliser pour voler des noms de compte Google et des jetons d'authentification. Cela a ensuite permis aux auteurs d'installer à distance d'autres applications de Google Play sur les appareils des victimes et de poster de fausses critiques à leur nom.
En théorie, des logiciels malveillants tels que celui-ci, conçu pour dérober des informations d'authentification, ont peut-être pu accéder à d'autres zones de comptes Google, telles que Gmail ou Photos. Rien ne prouve que "Gooligan" ait fait quelque chose comme ça - il semble plutôt qu'il ait été construit pour faire gagner de l'argent à ses créateurs grâce à des installations illégitimes d'applications.
Ce qui frappe dans cette souche de logiciels malveillants, c’est le nombre de comptes affectés - plus d’un million depuis le début de la campagne, selon Check Point. La majorité - 57% - de ces comptes ont été compromis en Asie, selon la firme. Viennent ensuite les Amériques avec 19%, l’Afrique avec 15% et l’Europe avec 9%. Check Point a mis en place un site sur lequel vous pouvez vérifier si votre compte est affecté. Google dit également qu'il tend la main à toute personne qui pourrait avoir été touchée.
En prévision de l'annonce publique d'aujourd'hui, Google et Check Point ont collaboré pour améliorer la sécurité d'Android.
Nous apprécions à la fois les recherches de Check Point et leur partenariat car nous avons travaillé ensemble pour comprendre ces problèmes ", a déclaré Adrian Ludwig, directeur de la sécurité pour Google pour Google." Dans le cadre de nos efforts continus pour protéger les utilisateurs de la famille Ghost Push logiciels malveillants, nous avons pris de nombreuses mesures pour protéger nos utilisateurs et améliorer la sécurité de l'écosystème Android dans son ensemble."
Check Point note également que la technologie "Verify Apps" de Google a été mise à jour pour traiter les applications utilisant de telles vulnérabilités. Cela est important car, même si cela n'aide pas les appareils déjà compromis, il bloque les installations futures sur 92% des appareils Android actifs, même sans qu'il soit nécessaire de mettre à jour le micrologiciel.
Comme d'autres exploits basés sur des applications, la fonctionnalité "Vérifier les applications" de Google protège désormais 92% des périphériques actifs de "Gooligan".
"Verify Apps" est intégré aux services Google Play et activé par défaut dans Android 4.2 Jelly Bean - ce qui représente 92, 4% des appareils actifs, en fonction des chiffres actuels. (Sur les anciennes versions, il peut être activé manuellement.) Comme le reste de Play Services, il est régulièrement mis à jour en arrière-plan, il bloque l'installation d'applications malveillantes et peut conseiller aux utilisateurs de désinstaller les logiciels malveillants déjà présents.
Sur les nouvelles versions d'Android, les exploits sous-jacents utilisés par "Gooligan" pour les périphériques racine auront été corrigés par des correctifs de sécurité. Aussi significatif que puisse paraître un million de comptes compromis, il s'agit également d'un exemple de la stratégie de sécurité de Google pour les logiciels malveillants basés sur des applications, qui bloque l'installation des applications concernées dans la grande majorité de l'écosystème.
Si vous craignez que votre compte ne soit affecté, vous pouvez consulter le site de Check Point. À l'avenir, les protections existantes de Google, qui font partie des services Play au cours des quatre dernières années, garantiront votre protection.
Mise à jour: Adrian Ludwig, ingénieur en chef de Google pour la sécurité sur Android, a rédigé un article détaillé sur l'historique de l'annonce "Googlian" d'aujourd'hui et sur ce que Google fait à ce sujet sur Google+.