Google a donné le coup d’envoi à neuf applications Android téléchargées plus de 5,8 millions de fois sur le marché Play de l’entreprise après que les chercheurs ont déclaré que ces applications utilisaient un moyen sournois pour voler les identifiants de connexion Facebook des utilisateurs.
Dans le but de gagner la confiance des utilisateurs et de baisser leur garde, les applications ont fourni des services entièrement fonctionnels pour l’édition et le cadrage de photos, l’exercice et l’entraînement, les horoscopes et la suppression des fichiers indésirables des appareils Android, selon un article publié par la société de sécurité Dr. La toile. Toutes les applications identifiées offraient aux utilisateurs la possibilité de désactiver les publicités intégrées à l’application en se connectant à leurs comptes Facebook. Les utilisateurs qui ont choisi l’option ont vu un véritable formulaire de connexion Facebook contenant des champs pour saisir les noms d’utilisateur et les mots de passe.
Ensuite, comme l’ont écrit les chercheurs du Dr Web :
Ces chevaux de Troie utilisaient un mécanisme spécial pour tromper leurs victimes. Après avoir reçu les paramètres nécessaires de l’un des serveurs C&C lors du lancement, ils ont chargé la page Web légitime de Facebook https://www.facebook.com/login.php dans WebView. Ensuite, ils ont chargé le JavaScript reçu du serveur C&C dans la même WebView. Ce script a été directement utilisé pour détourner les identifiants de connexion saisis. Après cela, ce JavaScript, en utilisant les méthodes fournies via l’annotation JavascriptInterface, a transmis le login et le mot de passe volés aux applications de cheval de Troie, qui ont ensuite transféré les données au serveur C&C des attaquants. Une fois que la victime s’est connectée à son compte, les chevaux de Troie ont également volé les cookies de la session d’autorisation en cours. Ces cookies ont également été envoyés à des cybercriminels.
L’analyse des programmes malveillants a montré qu’ils ont tous reçu des paramètres pour voler les identifiants et les mots de passe des comptes Facebook. Cependant, les attaquants auraient pu facilement modifier les paramètres des chevaux de Troie et leur ordonner de charger la page Web d’un autre service légitime. Ils auraient même pu utiliser un formulaire de connexion complètement faux situé sur un site de phishing. Ainsi, les chevaux de Troie auraient pu être utilisés pour voler les identifiants et les mots de passe de n’importe quel service.
Dr. WebLes chercheurs ont identifié cinq variantes de logiciels malveillants cachées dans les applications. Trois d’entre elles étaient des applications Android natives, et les deux autres utilisaient le framework Flutter de Google, conçu pour la compatibilité multiplateforme. Dr. Web a déclaré qu’il les classait tous comme le même cheval de Troie, car ils utilisent des formats de fichiers de configuration identiques et un code JavaScript identique pour voler les données des utilisateurs.
Publicité
Le Dr Web a identifié les variantes comme suit :
La majorité des téléchargements concernaient une application appelée PIP Photo, qui a été consultée plus de 5,8 millions de fois. L’application avec la deuxième plus grande portée était Processing Photo, avec plus de 500 000 téléchargements. Les applications restantes étaient :
Une recherche sur Google Play montre que toutes les applications ont été supprimées de Play. Un porte-parole de Google a déclaré que la société avait également interdit les développeurs des neuf applications du magasin, ce qui signifie qu’ils ne seront pas autorisés à soumettre de nouvelles applications. C’est la bonne chose à faire pour Google, mais cela ne pose néanmoins qu’un obstacle minime pour les développeurs, car ils peuvent simplement créer un nouveau compte de développeur sous un nom différent pour un montant unique de 25 $.
Toute personne ayant téléchargé l’une des applications ci-dessus doit examiner attentivement son appareil et ses comptes Facebook pour détecter tout signe de compromission. Télécharger une application antivirus Android gratuite auprès d’une entreprise de sécurité connue et rechercher d’autres applications malveillantes n’est pas non plus une mauvaise idée. L’offre de Malwarebytes est ma préférée.