Attaque Gooligan : Plus d’1 million de comptes Google affectés
Réseaux et sécurité
02/12/2016

Attaque Gooligan : Plus d’1 million de comptes Google affectés

Une attaque d’un logiciel malware, décrite la plus énorme de son genre, a visée les comptes de Google. La campagne d'attaque, nommée Gooligan, a affecté la sécurité de plus d'un million de comptes Google. Le nombre continue à augmenter à un nombre de 13.000 dispositifs de plus affectés par jour.

  1. C’est quoi cette Gooligan attaque ?

  2. Comment Gooligan fonctionne t-il ?

  3. Qui est affecté par cette attaque ?

  4. Comment savoir si son compte Gmail est affecté ?

  5. Comment Google a réagi contre cette attaque ?


  1. C’est quoi cette Gooligan attaque ?

    2. Cette attaque est la plus grande de son genre affectant des comptes Google, selon Check Point une société de sécurité informatique qui travaille avec Google pour protéger les données contre ce hack. Ce malware, appelé Gooligan, donne aux pirates l'accès à des appareils Android infectés. Ils peuvent ensuite voler des informations de compte Google, installer des applications à partir de Google Play et les évaluer pour augmenter leur réputation, et installer des logiciels publicitaires sur le périphérique. Jusqu'à présent, plus qu’un million de comptes Google sont censés avoir été touchés par le hack.
    Une fois que ce logiciel malveillant a pris le contrôle d'un appareil infecté, il vole des données d'authentification et les utiliser après pour accéder aux comptes de Google Play, Gmail, Google Photos, Google Docs, Google Drive et G Suite.


  2. Comment Gooligan fonctionne t-il ?

    3. Comment Gooligan fonctionne t-il ?

    L’infection commence lorsqu’un utilisateur enregistre et installe une application affecté par Gooligan sur un appareil Android avec faible sécurité. Une fois l’application est installée, elle envoie des données de cet appareil au serveur de la campagne C&C (Command and Control). Un serveur de commande et de contrôle (serveur C&C) est l'ordinateur centralisé qui émet des commandes vers un botnet et reçoit des rapports de la part des ordinateurs coopérés.
    De là, Gooligan télécharge des logiciels qui manipulent les vulnérabilités connues dans les appareils Android qui n'ont pas encore été entièrement réparés. Une fois que le trou de sécurité est exploité, Gooligan injecte du code malveillant dans l’appareil qui lui couvre de la détection. Cela lui permet de :

    • Voler le compte email Google d'un utilisateur et ses informations d'authentification
    • Installer des applications de Google Play et évaluer-les pour augmenter leur réputation.
    • Installer un adware pour générer des revenus.


  3. Qui est affecté par cette attaque ?

    4. Gooligan affecte potentiellement les appareils avec Android 4 (Jelly Bean, KitKat) et 5 (Lollipop), qui représente aujourd'hui plus de 74% des appareils sur le marché. Environ 57% de ces appareils sont situés en Asie, 19% en Amérique, 15% en Afrique et environ 9% en Europe.

    Qui est affecté par cette attaque ?


  4. Comment savoir si son compte Gmail est affecté ?

    5. Checkpoint.com a crée un site web où on peut vérifier si son compte Gmail est affecté par ce malware : https://gooligan.checkpoint.com/
    Si votre compte est affecté, demandez tout d’abord à un technicien Android de «flasher» votre appareil en lui installant une version propre de la dernière version prise en charge de l'OS Android. Une fois que vous avez réinstallé l'OS, assurez-vous de modifier tous les mots de passe de votre compte Google.


  5. Comment Google a réagi contre cette attaque ?

    6. Google a supprimé les applications bénéficiant des logiciels malveillants par l'augmentation de ses classements sur Google Play Store. Le site web Check Point.com a mis en bas de la page une liste d'applications truquées et infectées par Gooligan. Il est conseillé de la consulter et de supprimer toute application soupçonnée de son appareil.
    Parmi les autres mesures prises par Google pour réduire l'impact de l'attaque, la révocation des informations d’authentifications associées aux comptes concernés, l'amélioration du scanner de vérification des applications et la collaboration avec les fournisseurs de services Internet pour essayer d'éliminer les logiciels malveillants.