Un nouveau virus sévit sur Android. Une fois installé, ce dernier parvient à prendre le contrôle de l'appareil infecté, pour y installer des applications de façon autonome et générer des revenus frauduleux en les évaluant au nom de la victime. Le logiciel malveillant, baptisé Gooligan, collecte les adresses email et les jetons d'authentification Google, afin d'accéder à des données stockées sur l'ensemble des services Google - Gmail, Google Photos, Google Docs, Google Play, Google Drive mais aussi G Suite. Google a néanmoins indiqué dans un post de blog qu'il n'était pas en mesure de récupérer des données sensibles.

Selon Check Point, plus d'un million de comptes Google sont concernés à travers le monde. Ce nombre augmente rapidement. 13.000 nouveaux appareils fonctionnant sur Android 4 (Jelly Bean et KitKat) et 5 (Lollipop) sont infectés par jour. 30.000 applications sont installées quotidiennement sans l'accord des personnes visées, soit 2 millions d'applications depuis le début de la campagne. Le virus se propage lors de l'installation d'applications depuis des plateformes de téléchargement tierces. La liste de ces applications est fournie dans le post de blog de l'entreprise.

81.165 terminaux sont concernés en Europe, soit 12% du nombre total d'appareils infectés. Avec 169 Android potentiellement touchés, la France est relativement épargnée par le phénomène. La cyberattaque se concentre surtout sur l'Asie, premier continent touché avant l'Amérique (Nord et Sud inclus).

Les pays les plus infectés par Gooligan, selon Check Point.

Le plus important vol de données Google à ce jour

Check Point relève qu'il s'agit de la première infection à avoir touché plus d'un million d'appareils. «Ce vol de données liées à plus d'un million de comptes Google est alarmant et laisse envisager de nouvelles formes de cyberattaques», explique Michael Shaulov, responsable des produits mobiles au sein de la société. «Nous assistons à un tournant dans la stratégie des hackers, qui ciblent désormais directement les appareils mobiles pour obtenir les informations sensibles qui y sont stockées.»

Après la découverte de cette campagne, Check Point a fait état de l'ampleur du phénomène à Google. L'entreprise a réagi en avertissant les détenteurs de comptes infectés par mail et en incorporant de nouvelles couches de protection à ses outils de vérification des applications. Une page permet de déterminer si un Android a été infecté. Il suffit pour cela d'y entrer l'adresse mail Google associée à son téléphone. L'élimination du virus passe par l'installation d'un nouveau système d'exploitation sur son téléphone. Les mots de passe Google devront être modifiés par la suite.

L'attaque dévoilée par Check Point, bien que particulièrement importante, peut être relativisée. Plusieurs fuites de données Google initialement jugées majeures se sont avérées d'une gravité moindre ces dernières années. En 2014, seuls 2% des 5 millions de mots de passe prétendument revendus sur le dark web concernaient des comptes encore actifs. En mai dernier, plus de 98% d'un lot de 23 millions d'identifiants dérobés ont été déclarés invalides par Google.