Le logiciel Gooligan vise exclusivement les terminaux Android de génération 4 et 5. | Tony Avelar / AP

Plus d’un million d’appareils Android ont été victimes d’un logiciel malveillant, baptisé Gooligan, alerte mercredi 30 novembre la société israélienne Check Point, spécialisée dans les protections antivirus. Ce « malware » s’installe dans les smartphones et tablettes Android, récupère les adresses e-mail et les jetons d’authentification stockés sur les appareils, et s’en sert pour installer à l’insu de l’utilisateur des applications frauduleuses permettant de générer des revenus. Déjà 57 % des terminaux Android sont contaminés en Asie, essentiellement en Inde et en Indonésie, et 9 % en Europe, précise l’entreprise. La France est peu touchée : 169 terminaux au 15 novembre.

Selon Check Point, Gooligan touche 13 000 nouveaux appareils par jour, plus spécifiquement ceux qui fonctionnent avec des versions anciennes du système d’exploitation, comme Android 4 (Jelly Bean, KitKat) et 5 (Lollipop), sortis entre 2011 et 2014. Ces logiciels équipent près de 74 % des appareils Android en usage aujourd’hui, surtout dans les pays émergents, affirme Check Point.

2 millions d’applications installées

En tout, 2 millions d’applications ont été installées par Gooligan à l’insu des utilisateurs depuis son apparition, affirme l’entreprise israélienne. Ce qui rapporte, à chaque fois, un peu d’argent aux créateurs du malware : il est en effet courant, dans le domaine publicitaire, de rémunérer des organismes tiers à chaque téléchargement d’application qu’ils ont pu générer.

Gooligan télécharge aussi, selon Check Point, des applications affichant de la publicité, et génère automatiquement des clics dessus, afin d’obtenir une rémunération de la part de régies légales, qui ne savent pas ce qui se trame.

Le malware s’installe en cliquant sur des liens ou en téléchargeant de fausses applications vérolées. Plusieurs dizaines ont déjà été identifiées, comme « Weather », « YouTube Dowloader », « Fruit Slots », « Snake » ou encore « GPS Accelerator ». Plusieurs centaines d’e-mails liés à des entreprises du monde entier sont concernés par le piratage, estime Check Point, qui propose une page spéciale pour vérifier si son adresse e-mail fait partie de celles qui ont été piratées.

Google assure qu’aucune donnée n’a été dérobée

Google a reconnu le problème. Dans un message publié en ligne, Adrian Ludwig, responsable de la sécurité pour Android, explique avoir travaillé ces dernières semaine avec Check Point « pour enquêter et protéger les utilisateurs ». Pour tenter de rassurer ces derniers, il assure que l’enquête n’a démontré aucun vol de données des utilisateurs : « La motivation derrière [ce malware] est de promouvoir des applications, pas de voler des informations. » Gooligan est en fait, explique-t-il, une variante de Ghost Push, un ensemble de malwares qui téléchargent des applications à l’insu de l’utilisateur, et ce depuis 2014.

Il souligne que tous les propriétaires de comptes affectés ont été prévenus, et que leur jetons d’authentification, compromis par Gooligan, ont été révoqués. Google leur a fourni, dit-il, les instructions permettant de les réactiver de façon sécurisée.