カスペルスキーは、2016年8月に発見されたモバイルバンキング型トロイの木馬の亜種「Svpeng」が、Google AdSenseを経由して拡散されていることを確認。Chromeブラウザのバグを悪用しAndroid端末へ侵入しているとして注意喚起した。
Kaspersky Labによると、Svpengは、2016年7月中旬から現在までに累計31,8000ユーザー、1日最大37,000ユーザーのAndroid端末で検知されている。Googleのモバイル版Chromeブラウザ「Google Chrome for Android」(Android版Chrome)のバグから侵入し、端末内の銀行口座情報や通話履歴、SMSやブックマーク情報、連絡先などを窃取していた。
Kaspersky Labでは、Svpeng攻撃の起点がGoogle AdSense経由で配信された広告であることを分析。Android版ChromeでGoogle AdSenseの広告が設置された一般のWebサイトにアクセスし、広告が読み込まれると、Chromeの脆弱性を悪用し、閲覧した端末のSDカードにSvpengを仕込んだAKPファイルが自動的にダウンロードされる仕組みになっていた。
Svpengはブラウザの重要なアップデートや一般的なアプリになりすまし、インストールを承認させる一方で、Svpengはインストール済みアプリ一覧に表示されず、デバイス管理者の権限を要求し、ユーザーから発見しにくい状態になっていたという。
Kaspersky LabではGoogle Chrome for Androidの脆弱性を、Googleに報告。バグに対するパッチは、Google Chrome for Androidの直近の更新で修正される予定という。同社では、ブラウザを最新版に更新し、効果的にセキュリティ製品を利用するよう推奨している。