Discussion :

[Coriolan]

Les cybercriminels ont recours à Google AdSense pour propager un malware sur Android
Capable de récupérer les données bancaires des victimes

Android est le système d’exploitation mobile le plus populaire avec plus d’un milliard d’utilisateurs. De ce fait, il constitue la cible privilégiée des cybercriminels qui recourent à divers techniques et moyens pour mettre à mal la sécurité des utilisateurs. Parmi ces techniques, il y a l’hameçonnage qui permet aux fraudeurs d’obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc.

L’hameçonnage a commencé à émerger sur le mobile aussi. En 2013, la firme de sécurité Kaspersky Lab a détecté un cheval de troie au nom de Svpeng qui possède plusieurs fonctionnalités malveillantes. Après son installation et lancement, il disparait de la liste des applications installées et demande les droits d’administrateur sur le terminal infecté, le but bien évidemment est de rendre difficile sa suppression par l’antivirus ou l’utilisateur. Svpeng est exploité par les cybercriminels afin de voler les données bancaires des victimes en recourant à des fenêtres d’hameçonnage. Le malware a été conçu aussi afin d’intercepter, supprimer et envoyer des messages SMS, une fonctionnalité nécessaire afin que les pirates puissent se passer de l’utilisateur lors des opérations bancaires.

Aperçu d'une annonce de l'application malveillante dans un site de news

Selon les chercheurs de sécurité, les cybercriminels ont eu recours à la régie publicitaire Google AdSense du géant de la recherche afin de se propager. La plateforme est utilisée par des millions de sites pour afficher des annonces ciblées aux visiteurs. Les créateurs de Svpeng ont utilisé ce canal afin de propager leur malware, ainsi il suffit de visiter une page web avec l’annonce en question pour télécharger le malware. « Nous avons rencontré un acte de violence gratuite contre les utilisateurs d’Android. Rien qu’en visitant leurs sites de news favoris, les utilisateurs peuvent finir avec last-browser-update.apk, un malware détecté par Kaspersky Lab solutions »

L’installation du malware est déclenchée automatiquement sur le téléphone, sans aucune intervention de la part de l’utilisateur. Le cheval de troie est dissimulé sous le nom de fichier last-browser-update.apk afin de faire passer l’installation pour une simple mise à jour du navigateur web. Les chercheurs expliquent que ce processus est rendu possible par AdSense qui permet à n’importe qui de payer pour diffuser des annonces.

Afin de se prémunir contre cette menace, il suffit de refuser l’accès aux droits d’administrateurs au malware. L’utilisateur peut aussi aller plus loin en décochant la case qui permet d’installer des fichiers provenant de sources inconnues. En ce qui concerne AdSense, Google avait déjà informé les utilisateurs que la firme travaille sur des solutions et mécanismes permettant de contrecarrer la diffusion de malwares via des annonces dans la régie publicitaire. D’autant plus que les géants du web comme Google et Facebook cherchent à persuader les internautes à ne pas recourir aux outils de blocage de publicité.


Source : Securelist

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Quadrooter : quatre vulnérabilités menacent 900 millions de terminaux Android, en permettant une élévation de privilège pour un attaquant

[Aiekick]

Cest pas nouveau, c'est meme un probleme adsense, les rares fois ou j'ai clické sur une pub je me suis retrouvé sur un site qui vendait des produit qui n'arrivait jamais, des sites d'arnaques ou des sites verollés. Ahhh google et ces service automatisés..

[leoz01]

L’installation du malware est déclenchée automatiquement sur le téléphone, sans aucune intervention de la part de l’utilisateur.

Comment c'est possible ?
Même avec l'autorisation de sources inconnues il y a plusieurs messages avant de lancer l'installation d'un apk. Ça voudrait dire que du code javascript peut exécuter des commandes sur un système externe (sans parler du sandboxing du navigateur). Je suis vraiment curieux de savoir comment ça serait possible..

[Stéphane le calme]

Google met fin à la campagne d'attaques utilisant des annonces AdSense vérolées,
pour diffuser un malware bancaire sur Android

Google a mis fin à une campagne de piratage qui alliaient des publicités malveillantes diffusées sur sa régie publicitaire AdSense a une attaque exploitant une faille zero-day de Chrome sur Android.

Sur une période qui aura duré deux mois, le cheval de Troie Svpeng a affecté des centaines de milliers de dispositifs, selon les analyses de Kaspersky qui n’a pas manqué de souligner que le fait que Google bloque les publicités dont s’est servi le cheval de Troie pour se propager « constitue plus une approche réactive que proactive étant donné que les publicités malveillantes ont été bloqué après que le Trojan soit déjà installé dans des milliers de dispositifs ».

S’il arrive que l’installation du malware ne soit pas lancé automatiquement, il comporte des fichiers comme last-browser-update (pour se faire passer pour une mise à jour navigateur).apk et WhatsApp.apk (pour se faire passer pour le service de messagerie WhatsApp), noms qui ont été pensé pour tromper les utilisateurs et les pousser à procéder à une installation manuelle.

« Jusqu’à présent, ceux qui sont derrière Svpeng ont limité leurs attaques aux utilisateurs de smartphone qui sont situé en Russie », a expliqué Kaspersky. « Cependant, la prochaine fois qu'ils vont pousser leurs “annonces” sur AdSense, ils peuvent bien choisir d'attaquer les utilisateurs dans d'autres pays; Nous avons vu des cas semblables dans le passé. Après tout, qu'est-ce qui pourrait être plus pratique que d'exploiter la plate-forme publicitaire la plus populaire pour télécharger leurs créations malveillantes sur des centaines de milliers d'appareils mobiles ? ».

Un porte-parole de Google a assuré qu’un correctif à la vulnérabilité de téléchargement automatique est actuellement en phase de tests sur Chrome 54 et sera probablement intégré à Chrome 55. Il a également affirmé que Verify Apps, une fonctionnalité de sécurité sur Android, donne une alerte lorsque les gens sont sur le point d’installer une application malveillante.

Les chercheurs de Kaspersky ont déclaré que les accalmies observées dans la campagne sont le signe que quelqu’un ou quelque chose chez Google a détecté et supprimé bon nombre des annonces malveillantes distribuant les fichiers d'installation Svpeng. Pourtant, même après la suppression de ces annonces, de nouvelles ont réussi à prendre leur place : « les taux élevés et les changements abrupts dans le nombre de détections sont faciles à expliquer: Google a été rapide pour bloquer les annonces que le cheval de Troie a utilisé pour se propager ». Et de continuer en disant « il est également intéressant de noter qu'à de multiples occasions au cours des deux derniers mois, ces annonces ont pu se frayer un chemin sur AdSense ; des attaques similaires se sont produites jusqu'à présent, la plus récente attaque ayant été enregistrée le 19 octobre 2016 ».

Source : Kaspersky