Comment se protéger de"Gooligan",
Le programme qui infecte les comptes Google
Le logiciel malveillant s'est propagé par le biais d'applications mobiles corrompues, téléchargées sur des app stores Android non officiels. L'occasion de rappeler quelques conseils de sécurité basiques.
Au cas où vous auriez oublié que les malwares peuvent aussi viser les smartphones, "Gooligan" vient rappeler que vos mobiles ne sont pas à l'abri. Découvert par la société Checkpoint, cette attaque a contaminé un million d'utilisateurs d'Android, à qui elle a dérobé leurs comptes Google.
Gooligan s'attaque au système d'identification qui permet de reconnaitre un utilisateur des services de Google (Google Play, Gmail, Google Photos, Google Docs, Google Drive...), ce qui lui permet d'accéder aux comptes pour en voler les données.
Attention aux applis téléchargées en dehors de Google Play
La France n'est pas la plus touchée, puisque selon Checkpoint, seuls 9% des victimes se trouveraient en Europe. La majorité des utilisateurs infectés (57%) sont situés en Asie, d'où le virus serait sans doute parti. Il était contenu dans des applications téléchargées non pas à partir de Google Play, la boutique officielle d'Android, mais de boutiques d'applications tierces, qui sont surtout issues du continent asiatique. Ces app stores sont populaires notamment en Chine, où Google Play est interdit. On peut notamment y trouver des versions pirates gratuites d'applications payantes.
Plus de 80 applications ont ainsi été infectées par le malware. Parmi elle, un certain nombre d’applis à caractère sexuel, Google, le petit jeu Snake ou encore l'appli de "stream ripping" YouTubeDownloader.
Gooligan s'est également répandu par le biais d'emails et de messages contenant un lien de téléchargement d'une application infectée.
Des applis qui se téléchargent toutes seules
Une fois le malware installé dans le smartphone d'une victime, il installe automatiquement d'autres applications dans le but d'augmenter leur note, ou de rémunérer l'éditeur si elles sont téléchargées. Voir ainsi apparaître de nouvelles applications sur son smartphone sans les avoir soi-même téléchargées est un indice qui doit alerter les utilisateurs.
Checkpoint a mis en place un site pour vérifier si son compte Google a été corrompu. Il suffit de rentrer son adresse email pour en avoir le coeur net. Google, de son côté, affirme avoir suspendu l'accès aux comptes infectés, supprimé les applications concernées de Google Play, et contacté directement les utilisateurs concernés.
En cas d'infection, il faut "flasher" son téléphone, c'est-à-dire procéder à la réinstallation complète du système d'exploitation. Attention, ce n'est pas la même opération que de réinitialiser l'appareil, c'est plus complexe.
Des conseils pour se protéger
Le plus simple est encore de se protéger de ce genre de mésaventure. Pour cela, Philippe Rondel, directeur technique de Checkpoint en France, suggère de suivre ces quelques conseils:
Ne pas télécharger d'applications en dehors des app stores officiels
Ne pas suivre des liens pour installer des applications, mais les chercher directement dans les app stores
Mettre à jour régulièrement son OS. Gooligan, par exemple, exploite les vulnérabilités d'Android 4 (Jelly Bean, KitKat) et 5 (Lollipop), des versions de 2013 et 2014 du système d'exploitation de Google, qui représenteraient encore 74% du parc. Les téléphones les plus récents sont immunisés.
Désactiver les téléchargements de sources inconnues (normalement ils le sont par défaut), c'est-à-dire hors Google Play, dans Paramètres > Sécurité.