En août 2016, Mikhail Kuzin et Nikita Buchka de Kaspersky Labs découvrent une nouvelle famille de logiciels malveillants, qu’ils nomment Trojan-Banker.AndroidOS.Svpeng.q.
Il s’agit d’un cheval de Troie, dont le but est de voler les informations bancaires des utilisateurs de smartphones Android par fenêtres d’hameçonnage. Il peut également intercepter, effacer et envoyer des textos, et collecter les informations de contact, l’historique des appels téléphoniques, les messages textuels ou multimédias, et les favoris du navigateur de la victime.
Le logiciel malveillant exploite une faille du navigateur Chrome de Google sur Android. Normalement, le navigateur prévient l’utilisateur quand un site Web essaie de télécharger un fichier d’installation d’applis (.apk) à partir d’un hyperlien pointant sur un autre site.
Malheureusement, si le fichier apk est téléchargé en tant qu’objet binaire en plusieurs parties, Chrome ne réagit pas et laisse le site télécharger le logiciel malveillant et le sauvegarder sur le smartphone ou la tablette, en silence et sans aucune intervention de la victime.
Sans clic additionnel ou suivi d’hyperlien douteux, un utilisateur allant sur un site Web pour lire des nouvelles peut ainsi être victime du logiciel malveillant.
D’après les statistiques de Kaspersky Labs, le logiciel malveillant affecte déjà 318 000 appareils, avec un pic de 37 000 installations en un jour, pour la plupart en Russie.
Dans un premier temps, les deux chercheurs ont cru que le cheval de Troie affectait des sites de nouvelles à la sécurité compromise.
La réalité est bien pire, car le logiciel malveillant est directement téléchargé du réseau de publicité Google AdSense. Tout site externalisant la publicité au premier réseau de publicité numérique au monde peut donc être un vecteur d’infection.
Si Google a rapidement bloqué les publicités malveillantes, les deux chercheurs notent que la mesure est réactive plutôt que proactive, qu’elle n’affecte pas les appareils déjà infectés, et que depuis ils ont pu constater la diffusion à de multiples reprises de nouvelles publicités malveillantes sur AdSense.
Google prépare un correctif de sécurité pour Chrome, et affirme qu’il sera distribué en même temps que la prochaine version du navigateur. A priori donc, vers le 3 décembre 2016. Ce qui laisse encore 3 semaines aux criminels pour installer le cheval de Troie sur un maximum de smartphones dans le monde entier.
Voici malheureusement encore une illustration de l’hypocrisie incroyable de Google, aux dépens de ses utilisateurs.
Google n’hésite pas à rendre public une faille de sécurité de Windows parce que Microsoft n’a pas pu programmer et tester un correctif de sécurité en sept jours, délai arbitraire choisi unilatéralement par Google, mettant potentiellement en danger les utilisateurs du système d’exploitation.
Mais se laisse tout le temps du monde pour corriger ses propres failles de sécurité, mettant également en danger pendant des semaines les centaines de millions d’utilisateurs de smartphones Android.