Google met fin à la campagne d'attaques utilisant des annonces AdSense vérolées
Pour diffuser un malware bancaire sur Android

Le , par Stéphane le calme, Chroniqueur Actualités
Google a mis fin à une campagne de piratage qui alliaient des publicités malveillantes diffusées sur sa régie publicitaire AdSense a une attaque exploitant une faille zero-day de Chrome sur Android.

Sur une période qui aura duré deux mois, le cheval de Troie Svpeng a affecté des centaines de milliers de dispositifs, selon les analyses de Kaspersky qui n’a pas manqué de souligner que le fait que Google bloque les publicités dont s’est servi le cheval de Troie pour se propager « constitue plus une approche réactive que proactive étant donné que les publicités malveillantes ont été bloqué après que le Trojan soit déjà installé dans des milliers de dispositifs ».

S’il arrive que l’installation du malware ne soit pas lancé automatiquement, il comporte des fichiers comme last-browser-update (pour se faire passer pour une mise à jour navigateur).apk et WhatsApp.apk (pour se faire passer pour le service de messagerie WhatsApp), noms qui ont été pensé pour tromper les utilisateurs et les pousser à procéder à une installation manuelle.

« Jusqu’à présent, ceux qui sont derrière Svpeng ont limité leurs attaques aux utilisateurs de smartphone qui sont situé en Russie », a expliqué Kaspersky. « Cependant, la prochaine fois qu'ils vont pousser leurs “annonces” sur AdSense, ils peuvent bien choisir d'attaquer les utilisateurs dans d'autres pays; Nous avons vu des cas semblables dans le passé. Après tout, qu'est-ce qui pourrait être plus pratique que d'exploiter la plate-forme publicitaire la plus populaire pour télécharger leurs créations malveillantes sur des centaines de milliers d'appareils mobiles ? ».

Un porte-parole de Google a assuré qu’un correctif à la vulnérabilité de téléchargement automatique est actuellement en phase de tests sur Chrome 54 et sera probablement intégré à Chrome 55. Il a également affirmé que Verify Apps, une fonctionnalité de sécurité sur Android, donne une alerte lorsque les gens sont sur le point d’installer une application malveillante.

Les chercheurs de Kaspersky ont déclaré que les accalmies observées dans la campagne sont le signe que quelqu’un ou quelque chose chez Google a détecté et supprimé bon nombre des annonces malveillantes distribuant les fichiers d'installation Svpeng. Pourtant, même après la suppression de ces annonces, de nouvelles ont réussi à prendre leur place : « les taux élevés et les changements abrupts dans le nombre de détections sont faciles à expliquer: Google a été rapide pour bloquer les annonces que le cheval de Troie a utilisé pour se propager ». Et de continuer en disant « il est également intéressant de noter qu'à de multiples occasions au cours des deux derniers mois, ces annonces ont pu se frayer un chemin sur AdSense ; des attaques similaires se sont produites jusqu'à présent, la plus récente attaque ayant été enregistrée le 19 octobre 2016 ».

Source : Kaspersky


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil