Une application Android malveillante qui vole les informations d’identification de Facebook a été installée plus de 100 000 fois via le Google Play Store, et l’application est toujours disponible au téléchargement.
Le malware Android est déguisé en une application de dessin animé appelée « Craftsart Cartoon Photo Tools », permettant aux utilisateurs de télécharger une image et de la convertir en rendu de dessin animé.
Au cours de la semaine dernière, des chercheurs en sécurité et la société de sécurité mobile Pradeo ont découvert que l’application Android incluait un cheval de Troie appelé « FaceStealer‘, qui affiche un écran de connexion Facebook qui demande aux utilisateurs de se connecter avant d’utiliser l’application.
Selon le chercheur en sécurité de Jamf Michal Rajčanlorsque les utilisateurs entrent leurs informations d’identification, l’application les envoie à un serveur de commande et de contrôle chez zutuu[.]Info [VirusTotal]que les attaquants peuvent ensuite collecter.
En plus du serveur C2, l’application Android malveillante se connectera à www.dozenorms[.]URL du club [VirusTotal] où d’autres données sont envoyées, et qui a été utilisé dans le passé pour promouvoir d’autres applications Android FaceStealer malveillantes.
![Envoi de données à des douzaineormes[.]serveur de club](https://ezpublish-france.fr/wp-content/uploads/2022/03/1647899706_830_Un-logiciel-malveillant-voleur-de-mots-de-passe-Android-infecte.jpg "Un logiciel malveillant voleur de mots de passe Android infecte 100 000 utilisateurs de Google Play 3")
La source: EZpublish-france.fr
Comme Pradeo explique dans son rapportl’auteur et le distributeur de ces applications semblent avoir automatisé le processus de reconditionnement et injecter un petit morceau de code malveillant dans une application par ailleurs légitime.
Cela aide les applications à passer à travers la procédure de vérification du Play Store sans lever de drapeaux rouges. Dès que l’utilisateur l’ouvre, il ne reçoit aucune fonctionnalité réelle à moins qu’il ne se connecte à son compte Facebook.
Cependant, une fois connecté, l’application fournira des fonctionnalités limitées en téléchargeant une image spécifiée dans l’éditeur en ligne, http://color.photofuneditor.com/, qui appliquera un filtre graphique à l’image.
Cette nouvelle image sera ensuite affichée dans l’application, où elle pourra être téléchargée par l’utilisateur ou envoyée à des amis.
Comme de nombreuses applications exigent inutilement que les utilisateurs se connectent à un serveur, dans de nombreux cas Facebook, les utilisateurs sont devenus insensibles à ces invites de connexion et saisissent plus souvent leurs informations d’identification sans méfiance.
Signes de trouble
Aussi populaires et amusantes que puissent être ces applications de dessin animé, les utilisateurs doivent être extrêmement prudents lors de l’installation de logiciels qui les obligent à saisir des informations sensibles telles que des données biométriques (images de leur visage).
Ces applications effectuent les modifications d’image et appliquent des filtres sur un serveur distant, et non localement sur l’appareil, de sorte que vos données sont téléchargées vers un emplacement distant et risquent d’être conservées indéfiniment, partagées avec d’autres, revendues, etc.
Étant donné que l’application en question est toujours sur le Play Store, on peut automatiquement supposer que l’application Android est digne de confiance. Mais malheureusement, des applications Android malveillantes se faufilent parfois dans Google Play Store et y restent jusqu’à ce qu’elles soient détectées à partir de mauvaises critiques ou découvertes par des sociétés de sécurité.
Cependant, il est possible de repérer des applications frauduleuses et malveillantes dans de nombreux cas en consultant leurs avis sur Google Play.
Comme vous pouvez le voir ci-dessous, les avis des utilisateurs pour « Craftsart Cartoon Photo Tools » sont extrêmement négatifs, totalisant un score de seulement 1,7 étoiles sur cinq possibles. De plus, bon nombre de ces critiques avertissent que l’application a des fonctionnalités limitées et vous oblige à vous connecter d’abord à Facebook.
Deuxièmement, le nom du développeur est « Google Commerce Ltd », ce qui indique qu’il est développé par Google. En outre, les coordonnées répertoriées incluent l’adresse e-mail Gmail d’une personne aléatoire, qui est un grand drapeau rouge.
Nous avons visité la page du développeur, hébergée sur Blogspot, pour lire la politique de confidentialité du projet, et nous y avons trouvé une adresse e-mail différente, donc il y a même une incompatibilité.
Enfin, nous avons essayé d’envoyer un e-mail à l’auteur pour un commentaire sur les allégations faites par Pradeo, mais l’une des adresses n’existe même pas.
Cela peut sembler être un examen minutieux pour chaque application que vous installez sur votre smartphone, mais cela devrait être la procédure de vérification standard pour les applications intrinsèquement risquées.
Pradeo a informé Google de la nature de l’application Craftsart Cartoon Photo Tools, et EZpublish-france.fr a également envoyé un message à l’équipe Play Store, Google devrait donc la supprimer sous peu.
Cependant, ceux qui ont installé l’application sur leurs appareils doivent la supprimer immédiatement, réinitialiser leurs comptes Facebook et activer l’authentification à deux facteurs pour une protection supplémentaire.