Un éditeur de PDF, AppSuite PDF Editor, s’est récemment révélé être un logiciel espion après avoir été distribué en masse via Google Ads. Ce programme, initialement inoffensif, a réussi à tromper des milliers d’utilisateurs, avant de se transformer en un outil de vol de données. Voici comment ce piège a été orchestré et découvert.
L’info résumée en 3 points
- AppSuite PDF Editor a été diffusé largement via des campagnes Google Ads, apparaissant initialement comme un logiciel sans danger.
- Le programme est devenu un spyware le 21 août 2025, volant des données sensibles après une mise à jour malveillante.
- Des programmes associés, OneStart et Epibrowser, ont également été impliqués, exécutant des commandes en arrière-plan.
La diffusion massive par Google Ads
Entre juin et août 2025, AppSuite PDF Editor a été promu comme un éditeur PDF gratuit à travers une large campagne publicitaire sur Google Ads. Cette stratégie a permis au logiciel d’atteindre une visibilité importante et de multiplier les téléchargements. Les utilisateurs ont été séduits par une application apparemment fonctionnelle et inoffensive, qui passait les contrôles antivirus classiques sans difficulté.
Une fois installé, le programme a exécuté plusieurs requêtes HTTP pour signaler son installation à des serveurs contrôlés par les attaquants. Des clés ont été ajoutées au registre Windows pour assurer le lancement automatique du logiciel à chaque démarrage de la machine.
La transformation en logiciel espion
Le 21 août 2025, une mise à jour appelée “–fullupdate” a été lancée, introduisant le malware TamperedChef dans l’application. Ce dernier a transformé AppSuite PDF Editor en un « infostealer », un spyware dédié au vol de données sensibles telles que les identifiants et les cookies stockés localement. Le logiciel était capable de contourner certains logiciels de sécurité et de manipuler les navigateurs pour accéder à des données verrouillées.
Programmes associés et implications
Les chercheurs en sécurité ont découvert que des programmes associés, notamment OneStart et Epibrowser, jouaient également un rôle dans cette campagne malveillante. Ces navigateurs suspects, considérés comme PUP (Potentially Unwanted Programs), exécutaient des commandes en arrière-plan, téléchargeant et installant des fichiers suspects ainsi que d’autres logiciels potentiellement dangereux.
Ces programmes communiquaient avec le même serveur de contrôle que TamperedChef, suggérant une coordination entre ces différentes applications pour maximiser l’impact de l’attaque.
Réactions et mesures de sécurité
À la suite de ces découvertes, il est probable que les éditeurs de solutions antivirus aient mis à jour leurs bases de données pour détecter et bloquer ce type de menace, protégeant ainsi les utilisateurs contre ce cheval de Troie sophistiqué.
Google Ads, un service publicitaire en ligne de Google, a souvent été utilisé par des cybercriminels pour diffuser des logiciels malveillants sous couvert de logiciels légitimes. Malgré les efforts de Google pour améliorer la sécurité et la vérification des annonces, des incidents comme celui d’AppSuite PDF Editor continuent de se produire, soulignant l’importance d’une vigilance constante pour les utilisateurs de logiciels téléchargeables gratuitement.