Les analystes de Doctor Web ont détecté plusieurs applications malveillantes sur Google Play qui volent des logins et des mots de passe d’utilisateurs de Facebook. Ces Trojans-Stealers ont été diffusés sous le couvert d’applications inoffensives dont le nombre total d’installation a dépassé les 5 856 010.
Tribune / alerte – Au total, les experts de Doctor Web ont identifié 10 applications de Trojans de ce type. Dont 9 restaient présentes sur Google Play au moment de leur détection :
- Un éditeur photo nommé Processing Photo (détecté par Dr.Web comme Android.PWS.Facebook.13). Il a été propagé par son développeur chikumburahamilton, ce malware a été installé plus de 500 000 fois.
- Des applications App Lock Keep du développeur Sheralaw Rence, App Lock Manager éditée par Implummet col et Lockit Master du développeur Enali mchicolo (détectées comme Android.PWS.Facebook.13), ces programmes malveillants permettent de configurer une limitation d’accès aux appareils Android et aux logiciels installés sur les appareils. Ces malwares ont été téléchargés au moins 50 000, 10 et 5 000 fois respectivement.
- Un utilitaire destiné à optimiser le fonctionnement d’appareils Android – Rubbish Cleaner du développeur SNT.rbcl qui a été téléchargé plus de 100 000 fois (détecté par Dr.Web comme Android.PWS.Facebook.13).
- Des programmes d’astrologie Horoscope Daily du développeur HscopeDaily momo et Horoscope Pi du développeur Talleyr Shauna (détectés comme Android.PWS.Facebook.13). La première application a été installée plus de 100 000 fois et la deuxième plus de 1000 fois.
- Un programme de fitness Inwell Fitness (détecté comme Android.PWS.Facebook.14) du développeur Reuben Germaine, qui a connu plus de 100 000 installations.
- Un éditeur d’image PIP photo diffusé par le développeur Lillians. Les différentes versions de ce programme sont détectées comme Android.PWS.Facebook.17 et Android.PWS.Facebook.18. Cette application a été téléchargée plus de 5 millions de fois.
Dès que les experts de Doctor Web ont rapporté le problème à Google Inc., une partie des applications malveillantes ont été retirées mais au moment de la sortie de cette publication, certaines d’entre elles restent encore disponibles en téléchargement.
De plus, l’étude de ces stealers a montré l’existence d’une version antérieure d’un de ces malwares, propagée via Google Play sous couvert de l’éditeur photo EditorPhotoPip. Bien qu’il ait été retiré du catalogue, il restait disponible en téléchargement sur les sites d’agrégateurs d’applications. Il a été ajouté à la base de données virales Dr.Web comme Android.FakeApp.15.
Android.PWS.Facebook.13 . Android.PWS.Facebook.14 et Android.PWS.Facebook.15 sont des applications Android natives, tandis que Android.PWS.Facebook.17 et Android.PWS.Facebook.18 utilisent le framework Flutter, conçu pour le développement multi-plateforme. Malgré cela, elles peuvent être considérées comme des modifications du même Trojan, car elles utilisent le même format des fichiers de configuration et les mêmes scripts JavaScript pour voler des données.
Les applications étaient pleinement opérationnelles, ce qui devrait affaiblir la vigilance de leurs victimes potentielles. Pour accéder à toutes leurs fonctions, ainsi que pour prétendument désactiver la publicité, les utilisateurs étaient invités à se connecter à leurs comptes Facebook. Certaines applications contenaient des publicités, ce qui pouvait également affaiblir l’attention des utilisateurs et les pousser à exécuter une action proposée par les pirates.
Voici le message qui invitait les victimes potentielles à se connecter à leurs comptes Facebook :
Si l’utilisateur acceptait la proposition et qu’il cliquait sur le bouton, il voyait un formulaire standard de saisie de login et de mot de passe, comme sur l’image suivante :
Il faut noter que les champs de saisie sont authentiques. Les Trojans utilisent un mécanisme spécialisé pour tromper leurs victimes. Après avoir reçu les paramètres d’un des serveurs de contrôle, les pirates téléchargent la page légitime de Facebook https://www.facebook.com/
L’analyse de ces programmes malveillants a montré qu’ils ont tous reçu les paramètres nécessaires pour voler des noms d’utilisateur et mots de passe des comptes Facebook. Cependant, les attaquants sont en mesure de changer facilement les paramètres et de donner la commande de télécharger la page d’un service légitime ou d’utiliser un formulaire de saisie contrefait publié sur un site de phishing. Ainsi, les chevaux de Troie peuvent être utilisés pour voler des noms d’utilisateur et mots de passe de n’importe quel service.
Le programme malveillant Android.PWS.Facebook.15 qui est une modification antérieure, est identique aux autres, mais il comprend également la sortie des données vers un fichier log dans la langue chinoise, ce qui peut indiquer son origine.
Doctor Web recommande à tous les propriétaires d’appareils Android d’installer uniquement les applications provenant d’éditeurs connus et fiables ainsi que de faire attention aux avis publiés. Les avis ne donnent pas une garantie absolue de sécurité, mais ils peuvent signaler une menace potentielle. Il faut également faire attention aux programmes qui proposent de se connecter à un réseau social ou à un service. Si l’utilisateur n’est pas sûr de la sécurité des actions proposées, il faut refuser de continuer et supprimer le programme suspect.
Les produits antivirus Dr.Web pour Android détectent et éradiquent toutes les modifications connues des Trojans Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.15, Android.PWS.Facebook.17 et Android.PWS.Facebook.18, qui ne représentent aucun danger pour nos utilisateurs.