Les extensions pour Google Chrome qui cachaient des malwares pouvant espionner la navigation internet des utilisateurs ont été supprimés par Google. Les extensions concernées par ces logiciels ont été repérées par Awake Security.
Les chercheurs en informatique d’Awake Security avaient signalé à Google la présence d’un malware alarmant sur les extensions proposées via le Chrome Web Store. Google affirme avoir supprimé plus de 70 extensions après que l’alerte ait été donnée. À noter que les extensions en questions ont été téléchargées 32 millions de fois.
Les logiciels espions étaient très discrets
Les extensions concernées par les malwares étaient en fait des outils de conversion de format de fichiers ainsi que des protections contre les logiciels malveillants. Elles renfermaient des morceaux de code ayant pour effet de changer Google Chrome en logiciel espion. La finalité première de ce dernier étant de collecter les données privées des utilisateurs comme l’historique de navigation des internautes. Gary Golomb, directeur technique d’Awake Security explique que c’est la plus vaste campagne malveillante du genre recensée à ce jour.
Lors d’une interview donnée à Reuters, Scott Westover, porte-parole de Google affirme que l’équipe de Google a été très réactif concernant la suppression des extensions qui ont causé des problèmes. Lui de continuer que les équipes techniques de l’entreprise se sont inspirées de ce malware pour préparer leurs systèmes de détection par lesquelles les extensions doivent passer avec d’être publiées sur le CHROME Web Store.
Les vérifications automatiques qui sont faites sur les extensions de Google sont encore loin d’être infaillibles. Ce malgré le fait qu’elles soient effectuées à grand renfort d’IA et aussi manuelle. Pour rappel, Google avait pourtant déjà affirmé qu’il a amélioré son processus de validation des extensions pour que ce genre de problème ne se pose pas.
L’identité des pirates reste inconnue
Actuellement, aucune information concernant l’identité des auteurs de ces extensions malveillantes n’a été révélée. Ces identités sont sûrement occultées au moment de soumettre les extensions. Il en est de même des codes espion. Ils ont été développés pour se soustraire à la protection des antivirus du commerce, mais aussi pour ne pas attirer l’attention.
D’après les explications fournies par Garry Golomb, les internautes qui utilisent Chrome et qui sont titulaires de l’une des extensions vérolées verront toutes les communications du malware s’arrêter s’ils se connectaient à Internet via un réseau d’entreprise. Par contre, dès que l’internaute utilise leur navigateur pour faire des recherches personnelles, le logiciel espion se connecte sur toute une série de domaines qui sont au nombre de 15 000 afin de transmettre les données volées tout en brouillant les pistes.
Il est indiqué que les domaines employés avaient été achetés chez Galcomm, un petit registrar israélien. Les responsables de cette société d’expliquer qu’ils n’ont rien fait de mal et qu’ils collaborent avec les autorités dans l’enquête. Awake Security de son côté estime que Galcomm aurait dû se douter de quelque chose. À préciser que peu de plaintes contre Galcomm ont été enregistrées et que celles qui sont déposées contre lui ne concernent pas les malwares.
