Un malware de type cheval de Troie et baptisé Gooligan a été repéré par Check Point et se cache dans des applications mobiles Android présentes sur des portails tiers (86 applications ont déjà été repérées). Il exploite des failles existant sur d'anciennes versions d'Android pour contaminer smartphones et tablettes et en prendre le contrôle en les rootant.

Android sécurité Gooligan, un variant de la famille Ghost Push, permet d'accéder aux emails et aux tokens d'authentification qui en retour ouvrent la voie vers les services de Google comme Gmail, Google Photos, Google Docs, etc. Au total, plus de 1 million de comptes Google auraient ainsi été compromis.

Check Point observe que le malware se répand à un rythme de 13 000 nouveaux appareils par jour mais il cible les appareils mobiles embarquant d'anciennes versions d'Android, comme Android 4 Jelly Bean / KitKat et Android 5 Lollipop.

Selon les chiffres donnés par Google sur la répartition des versions d'Android, cela suggère tout de même que 74% des appareils Android en service dans le monde peuvent être infectés, d'autant plus que si le mode de propagation privilégié passe par l'installation d'une application vérolée, il est possible de transmettre Gooligan par phishing via une simple URL.

Check Point relève qu'une fois obtenu le contrôle d'un appareil mobile, les auteurs du malware génèrent des revenus en installant des applications depuis le Google Play et en utilisant le compte de la victime pour les noter.

A noter que Google vient d'annoncer le renforcement des mesures prises contre les faux commentaires élogieux des applications de son portail Google Play Store, qu'ils soient frauduleux ou payés. Le groupe a également réagi en bloquant l'accès aux serveurs utilisés par les auteurs du malware et en mettant en sécurité les comptes compromis.

Check Point propose une page Web de vérification dans laquelle il suffira d'entrer l'adresse Gmail liée à un appareil mobile Android pour vérifier si le compte est concerné ou pas.