igor - Fotolia
Android : une campagne vise à compromettre les comptes Google
Le logiciel malveillant d’installe avec les privilèges système les plus élevés et dérobe les identifiants et jetons d’authentification des comptes des utilisateurs.
Plus d’un million de comptes Google auraient déjà été compromis, et 13 000 autres viendraient les rejoindre chaque jour, selon Check Point. Dans un billet de blog, l’éditeur détaille l’étendue de la menace, basée sur un logiciel malveillant qu’il a baptisé Gooligan. Celui-ci serait présent dans « des dizaines d’applications d’apparence légitime dans des magasins applicatifs alternatifs » à celui de Google. Mais ces applications chevaux de Troie pourraient également être poussée aux utilisateurs via des campagnes de hameçonnage, par e-mail ou même par SMS et des services de messagerie instantanée.
Les chercheurs de Check Point expliquent que le Gooligan n’est en fait pas tout neuf : il trouve ses origines dans une application malicieuse observée l’an passé, SnapPea. Mais ses auteurs ont profité de tout le premier semestre pour faire évoluer leur logiciel malveillant et le rendre plus redoutable. Une fois installée, l’application vérolée contacte un serveur de commande et de contrôle pour télécharger et exécuter plusieurs exploits et obtenir les privilèges les plus élevés sur Android. Les machines utilisant les version 4 (Jelly Bean et KitKat) et 5 (Lollipop) du système d’exploitation mobile de Google sont susceptibles d’être concernées. Elles représentent près des trois quarts du parc installé.
Le logiciel malveillant « injecte du code dans Google Play ou les Google Mobile Services pour copier le comportement de l’utilisateur » et mieux passer inaperçu. Mais surtout, il dérobe l’identifiant du compte Google de l’utilisateur ainsi que son jeton d’authentification. Au passage, il installe des applications du magasin applicatif de Google et les note – à l’insu de l’utilisateur –, ainsi qu’un adware pour générer des revenus.
Mais le plus préoccupant touche clairement aux jetons d’authentification. Munis de ceux-ci, les cybercriminels peuvent accéder à toutes les données personnelles des utilisateurs concernés. Voire professionnelles pour ceux qui emploient un compte entreprise. Check Point propose un outil en ligne pour vérifier si son compte Google a été compromis ou pas.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Authentification : Microsoft met en garde contre les attaques en détournement de jetons
-
La CDU allemande victime d’une cyberattaque via son VPN CheckPoint
-
Microsoft continue d'enquêter sur la clé MSA volée lors d'attaques par email
-
La sécurité de Kubernetes soumise aux risques de la supply chain logicielle