Cette mise à jour Chrome pour Android est un vrai nid à problèmes et elle se déclenche d’une manière très spécifique.
Prudence est mère de sûreté
Google Chrome est le navigateur web le plus populaire et le plus utilisé au monde. Par conséquent, lorsqu'une mise à jour frauduleuse est découverte, c’est toute une partie de la population qui est concernée. Cette dernière, qui vole des données privées, des messages et des photos, suscite une vive inquiétude… même auprès des spécialistes. Un rapport alarmant publié la semaine dernière par McAfee met en garde les utilisateurs d'Android contre les liens envoyés par message, susceptibles d'installer des mises à jour de Chrome sur leurs appareils. En effet, le malware MoqHao se cache dans ces téléchargements, usant d'une nouvelle technique qualifiée de « très dangereuse » par les chercheurs en sécurité.
Ces mêmes chercheurs expliquent que dès que la mise à jour est passée, « l’activité malveillante démarre automatiquement ». Le mode opératoire de ces personnes malintentionnées est si étonnant que Google travaille déjà sur des mesures d'atténuation pour empêcher ce type d'exécution automatique dans une future version d'Android. Dans les faits, et selon les informations de McAfee, cette campagne malveillante diffuse le malware MoqHao via des messages SMS, avec une astuce supplémentaire : les cybercriminels utilisent désormais des URL courtes provenant de services légitimes pour rendre plus difficile le blocage du domaine.
Comment ça marche ?
Une fois que l'utilisateur clique sur le lien, il est redirigé vers le site malveillant réel par le service de raccourcissement d'URL. Une fois installée, la mise à jour frauduleuse de Chrome demande des autorisations étendues à l'utilisateur, telles que l'accès aux SMS, aux photos, aux contacts et même au téléphone lui-même. Le malware fonctionne en arrière-plan, se connectant à son serveur de commande et de contrôle, et causant toujours plus de dommages. McAfee attribue cette campagne MoqHao (XLoader) au groupe Roaming Mantis, généralement actif en Asie. Cependant, cette campagne cible également les utilisateurs européens, comme en témoignent les nombreux messages envoyés en anglais.
La technique de phishing utilisant des caractères Unicode rend les messages visuellement trompeurs, semblant être des mises à jour légitimes de Chrome. McAfee alerte sur cette méthode contournant les techniques de détection habituelles. C'est le troisième avertissement sur les logiciels malveillants Android cette année, avec une mise en garde spécifique contre les applications imitatrices, soulignant les risques pour les utilisateurs. En parallèle, la loi sur les marchés numériques (DMA) entraîne des changements importants pour de nombreuses applications et plateformes.
L'ouverture à reculons de magasins tiers sur iOS laisse aussi penser que de nouveaux problèmes pourraient survenir dans les prochains mois chez les utilisateurs d’iPhone et d’iPad européens, qui étaient jusque-là bien protégés par les barrières de la pomme. Phil Schiller, le Vice-Président marketing d’Apple, est d'ailleurs particulièrement inquiet vis-à-vis de ces changements à venir : « Il y a des applications que nous n’avons pas autorisées sur notre App Store, des services que nous ne pensions pas sûrs ou appropriés ». Il indique aussi, que suite au DMA « nous ne déciderons pas si ces autres marchés ont les mêmes conditions et limitations » (Source : Fast Company). En d’autres termes, des applications inappropriées, voire carrément dangereuses, pourraient être disponibles sur les iPhone et les iPad, sans que l’entreprise puisse y faire grand-chose.