Une application Android malveillante qui vole les informations d’identification Facebook a été installée plus de 100 000 fois via le Google Play Store, l’application étant toujours disponible au téléchargement.
Le malware Android est déguisé en une application de dessin animé appelée « Craftsart Cartoon Photo Tools », permettant aux utilisateurs de télécharger une image et de la convertir en un rendu de dessin animé.
Au cours de la semaine dernière, des chercheurs en sécurité et la société de sécurité mobile Pradeo ont découvert que l’application Android comprend un cheval de Troie appelé ‘FaceStealer»,’ qui affiche un écran de connexion Facebook qui oblige les utilisateurs à se connecter avant d’utiliser l’application.
Selon le chercheur en sécurité Jamf Michal Rajčan, lorsque les utilisateurs entrent leurs informations d’identification, l’application les envoie à un serveur de commande et de contrôle à zutuu[.]info [VirusTotal], que les attaquants peuvent ensuite collecter.
En plus du serveur C2, l’application Android malveillante se connectera à www.dozenorms[.]URL du club [VirusTotal] où d’autres données sont envoyées, et qui ont été utilisées dans le passé pour promouvoir d’autres applications Android FaceStealer malveillantes.
![Envoi De Données À Dozenorms[.]Serveur Du Club](https://www.bleepstatic.com/images/news/malware/c2-server-android.jpg "Les Logiciels Malveillants De Vol De Mot De Passe Android Infectent 100 000 Utilisateurs De Google Play 3")
Comme Pradeo explique dans son rapport, l’auteur et le distributeur de ces applications semblent avoir automatisé le processus de reconditionnement et injecté un petit morceau de code malveillant dans une application par ailleurs légitime.
Cela aide les applications à passer à travers la procédure de vérification du Play Store sans lever de drapeaux rouges. Dès que l’utilisateur l’ouvre, il ne reçoit aucune fonctionnalité réelle à moins qu’il ne se connecte à son compte Facebook.
Cependant, une fois connectés, l’application fournira des fonctionnalités limitées en téléchargeant une image spécifiée dans l’éditeur en ligne, http://color.photofuneditor.com/, qui appliquera un filtre graphique à l’image.
Cette nouvelle image sera ensuite affichée dans l’application, où elle pourra être téléchargée par l’utilisateur ou envoyée à des amis.
Comme de nombreuses applications exigent inutilement que les utilisateurs se connectent à un serveur, dans de nombreux cas, Facebook, les utilisateurs sont devenus insensibles à ces invites de connexion et saisissent plus souvent leurs informations d’identification sans soupçon.
Signes de problèmes
Aussi populaires et amusantes que puissent être ces applications de dessins animés, les gens doivent être très prudents lors de l’installation d’un logiciel qui les oblige à saisir des informations sensibles telles que des données biométriques (images de leurs visages).
Ces applications effectuent les modifications d’image et appliquent des filtres sur un serveur distant, pas localement sur l’appareil, de sorte que vos données sont téléchargées vers un emplacement distant et risquent d’être conservées indéfiniment, partagées avec d’autres, revendues, etc.
Étant donné que l’application particulière est toujours sur le Play Store, on peut automatiquement supposer que l’application Android est digne de confiance. Mais malheureusement, les applications Android malveillantes se faufilent parfois dans Google Play Store et restent jusqu’à ce qu’elles soient détectées à partir de mauvaises critiques ou découvertes par des sociétés de sécurité.
Cependant, il est possible de repérer les applications frauduleuses et malveillantes dans de nombreux cas en consultant leurs critiques sur Google Play.
Comme vous pouvez le voir ci-dessous, les critiques des utilisateurs pour ‘Craftsart Cartoon Photo Tools’ sont extrêmement négatives, totalisant un score de seulement 1,7 étoile sur cinq possibles. En outre, beaucoup de ces critiques avertissent que l’application a des fonctionnalités limitées et vous oblige à vous connecter d’abord à Facebook.
.jpg "Les Logiciels Malveillants De Vol De Mot De Passe Android Infectent 100 000 Utilisateurs De Google Play 4")
Deuxièmement, le nom du développeur est « Google Commerce Ltd », ce qui indique qu’il est développé par Google. En outre, les coordonnées répertoriées incluent l’adresse e-mail Gmail d’une personne au hasard, ce qui est un grand drapeau rouge.
.jpg "Les Logiciels Malveillants De Vol De Mot De Passe Android Infectent 100 000 Utilisateurs De Google Play 5")
Nous avons visité la page du développeur, hébergée sur Blogspot, pour lire la politique de confidentialité du projet, et nous y avons trouvé une adresse e-mail différente, donc il y a même un décalage.
Enfin, nous avons essayé d’envoyer un courriel à l’auteur pour un commentaire sur les allégations faites par Pradeo, mais l’une des adresses n’existe même pas.
Cela peut sembler être un examen excessif pour chaque application que vous installez sur votre smartphone, mais cela devrait être la procédure de vérification standarde pour les applications intrinsèquement risquées.
Pradeo a informé Google de la nature de l’application Craftsart Cartoon Photo Tools, et Bleeping Computer a également envoyé un message à l’équipe du Play Store, donc Google devrait le supprimer sous peu.
Cependant, ceux qui ont l’application installée sur leurs appareils doivent la supprimer immédiatement, réinitialiser leurs comptes Facebook et activer l’authentification à deux facteurs pour une protection supplémentaire.
Mise à jour 22/05 – Un porte-parole de Google a informé Bleeping Computer que l’application malveillante a été supprimée du Play Store maintenant.
