Gooligan : malware opportuniste et fraude au clic sur Android

Apps mobilesMobilitéOS mobilesSécurité
gooligan

Check Point et Google ont mis le doigt sur un logiciel malveillant qui prend le contrôle des appareils Android dans une optique de fraude publicitaire.

S’installer sur les terminaux Android, prendre le contrôle des services Google, puis télécharger des applications depuis le Play Store et générer de faux clics sur les publicités qui s’y affichent : ainsi Check Point résume-t-il la raison d’être de Gooligan.

L’éditeur d’origine israélienne, fournisseur de solutions de sécurité informatique, a mis le doigt sur ce malware qui aurait déjà fait un million de victimes et dont la propagation se poursuivrait actuellement au rythme de 13 000 appareils infectés par jour.

Gooligan n’est pas inconnu au bataillon. Il s’agit en fait de l’évolution d’un logiciel malveillant repéré l’année passée dans une application baptisée SnapPea. Il appartient d’ailleurs, selon la définition qu’en donne Google, à la même famille : Ghost Push.

Le groupe Internet américain dit avoir supprimé, rien qu’en 2015, plus de 40 000 applications contaminées rattachées à cette famille de malware qui exploitent des failles telles que VROOT (CVE-2013-6282) et Towelroot (CVE-2014-3153) pour installer un rootkit sur les appareils vulnérables.

Gooligan est diffusé aussi bien par le biais des places de marché tierces (autres que le Play Store) que par l’intermédiaire de campagnes de phishing. Il menace potentiellement tous les terminaux Android qui ne tournent pas sous les versions 6.0 « Marshmallow » ou 7.0 « Nougat ». C’est-à-dire les trois quarts du parc actuel, selon les dernières statistiques de Google.

Chasse aux bannières

Dans la pratique, ne sont exposés que les appareils qui n’ont pas bénéficié de correctifs pour les failles susmentionnées.

Une fois le rootkit installé, Gooligan télécharge un module supplémentaire qui récupère le jeton de session stocké sur l’appareil après que l’utilisateur s’est authentifié avec succès. Il peut alors injecter du code dans les services Google… et télécharger des applications.

Ces applications, il est capable de les installer plusieurs fois sur le même terminal, sans éveiller les soupçons. Comment ? En masquant certains identifiants en théorie uniques, comme l’IMEI (équivalent d’un numéro de série) et l’IMSI (utilisé par les réseaux mobiles pour identifier un usager).

Après examen, Google confirme que l’objectif de Gooligan n’est pas de voler des données, mais de simuler des clics sur les bannières qui s’affichent dans les applications téléchargées. De même, aucune trace de ciblage : tout appareil vulnérable est bon à contaminer.

Check Point évoque « au moins 30 000 installations frauduleuses » par jour et plus de 2 millions depuis le début de la campagne. Le phénomène s’accentue du fait que le malware est capable de laisser des évaluations sur des applications pour les faire remonter dans le classement des stores.

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur