Le phishing c'est bien, mais certains cybercriminels espèrent mieux, considérant que des publicités peuvent plus facilement tromper les utilisateurs que les mails. C'est ainsi que les auteurs d'un billet de blog sur Securelist nous apprennent avoir découvert un "acte de violence gratuit à l'encontre des utilisateurs Android".

Une violence que chacun peut se retrouver à subir simplement en lisant des news lors du café du matin. Car une publicité AdSense peut inciter à mettre à jour le navigateur du smartphone, en téléchargeant un fichier last-browser-update.pak qui contient en fait le trojan bancaire Trojan-Banker.AndroidOS.Svpeng.q, ou Svpeng pour les intimes.

Les sites affichant des publicités AdSense se comptant par millions, n'importe qui peut rencontrer cette annonce. A l'installation, le malware demande des droits administrateurs, puis il disparait de la liste des applications installées afin de faire croire qu'il était réellement une mise à jour. A la suite de quoi il peut sévir : vol de données bancaires bien sûr, mais aussi interception et envois de faux messages lorsque les systèmes bancaires utilisent un mécanisme de SMS, et enfin vol d'à peu près toutes les données utilisateurs possibles et imaginables.

Pour se prémunir, outre faire preuve de la plus grande méfiance lorsqu'un application demande des droits administrateurs, tous les utilisateurs Android devraient configurer leur appareil afin de s'opposer à l'installation d'applications provenant de sources inconnues.