Neuf applications volent les identifiants de connexion Facebook tirés de Google Play

Google LLC a supprimé neuf applications Android du Play Store, dont une avec des millions d’utilisateurs, après avoir découvert qu’elles volaient les identifiants de connexion Facebook Inc. des utilisateurs.

Découvertes et détaillées le 1er juillet par les analystes de logiciels malveillants de Dr. Web, les applications, décrites comme des « chevaux de Troie voleurs », se sont propagées comme des logiciels inoffensifs et ont été installées près de 6 millions de fois. Contrairement à certains cas précédents où des applications Android malveillantes ont été découvertes, les applications dans ce cas fournissaient toutes des services légitimes tels que l’édition et le cadrage de photos, l’exercice et la formation, les horoscopes et la suppression de fichiers indésirables.

Les applications comprenaient PIP Photo avec jusqu’à 5 millions d’installations ; Traitement de la photo avec jusqu’à 500 000 installations ; Nettoyeur de déchets, Horoscope Daily et Inwell Fitness avec jusqu’à 100 000 installations ; et App Lock Keep avec jusqu’à 50 000 installations. Lockit Master, Horoscope Pi et App Lock Manager complètent la liste.

Généralement entre les applications, les utilisateurs se sont vu offrir la possibilité de désactiver les publicités intégrées à l’application en se connectant à leur compte Facebook. Les analystes ont noté que « les publicités à l’intérieur de certaines applications étaient effectivement présentes et cette manœuvre visait à encourager davantage les propriétaires d’appareils Android à effectuer les actions requises ».

Les utilisateurs de l’application sélectionnant l’option ont ensuite reçu une connexion Facebook standard, mais avec une différence  : la véritable page de connexion Facebook a été affichée dans WebView avec JavaScript également chargé pour détourner les informations de connexion saisies.

Lorsque les utilisateurs entraient leurs informations de connexion Facebook, JavaScript envoyait alors les informations d’identification au serveur de commande et de contrôle de l’attaquant, tandis que les utilisateurs n’en seraient pas plus avisés, s’étant connectés avec succès à Facebook. Une fois que les victimes se sont connectées à leur compte, le cheval de Troie a également volé les cookies des sessions d’autorisation en cours.

Bien que ceux à l’origine des applications aient ciblé les comptes Facebook, ils pourraient avoir ciblé des comptes sur d’autres services. « Les attaquants auraient pu facilement modifier les paramètres des chevaux de Troie et leur ordonner de charger la page Web d’un autre service légitime », ont expliqué les analystes. « Ils auraient même pu utiliser un formulaire de connexion complètement faux situé sur un site de phishing. Ainsi, les chevaux de Troie auraient pu être utilisés pour voler les identifiants et les mots de passe de n’importe quel service.

Google n’a pas encore fait de déclaration publique sur les applications. Ars Technica a signalé vendredi que les applications avaient été supprimées du magasin. Un porte-parole de Google a déclaré à Ars Technica que les développeurs des applications ont également été bannis.

Image : Dr Web

​​le fondateur et PDG de Dell Technologies Michael Dell, le PDG d’Intel Pat Gelsinger et bien d’autres sommités et experts.

Rejoignez notre communauté

Nous organisons notre deuxième vitrine de startups cloud le 16 juin. Cliquez ici pour participer à l’événement Startup Showcase gratuit et ouvert.

« TheCUBE fait partie de re :Invent, vous savez, vous faites vraiment partie de l’événement et nous apprécions vraiment votre venue ici et je sais que les gens apprécient également le contenu que vous créez » – Andy Jassy

Nous voulons vraiment vous entendre. Merci d’avoir pris le temps de lire cette publication. Au plaisir de vous voir à l’événement et au Club CUBE.

Tags: ,