Un malware russe sur le Play Store ! Il vole vos données Facebook…

Le Play Store, pourtant réputé très sécurisé, accueillait encore il y a peu une application mise en place par des hackers russes pour vous voler vos identifiants Facebook.

Les applications de vos téléphones ne sont pas toujours ce qu’elles vous font croire qu’elles sont. Certaines sont mises en place par des pirates qui, par des biais plus ingénieux les uns que les autres, s’attaquent à vos données et vos comptes bancaires. On vous en parle ici semaine après semaine et on a l’impression, hélas pour les utilisateurs et les innocentes victimes, que nous sommes loin d’avoir fini de traiter le sujet. Nous évoquions les dégâts du malware Escobar il y a quelques jours, mais c’est sur une autre menace que nous allons nous pencher aujourd’hui, bien cachée dans une application de retouche photo.

À lire également : HermeticWiper : le malware russe attaque l’Ukraine et la France

Facestealer : ne perdez pas la face !

La société de sécurité mobile Pradeo a en effet annoncé avoir découvert qu’une app ayant pignon sur rue sur le Play Store contenait un malware connu dans le milieu sous le nom de Facestealer. Ce dernier n’est pas nouveau, même si ses apparitions se font sporadiques sur la scène malware. Son fonctionnement est très simple. Vous téléchargez et ouvrez le programme vérolé et ce dernier vous annonce que vous devez vous connecter à Facebook. Un clic et vous vous trouvez sur une page web extérieure qui vous demande de vous identifier. Une fois ceci fait, vos informations sont envoyées sur le serveur des pirates situé sur un domaine en Russie déjà actif depuis de longues années comme l’explique l’équipe de Pradeo :

Nos recherches montrent que ce domaine est utilisé depuis sept ans, par intermittence, et qu’il a été connecté à de multiples applications mobiles qui ont été disponibles sur Google Play un moment, puis supprimées.

Le réceptacle dernièrement choisi par Facestealer était Craftsart Cartoon Photo Tools, une application téléchargée par plus de 100 000 personnes et qui a échappé à la vigilance de la police du Play Store.

@Pradeo

Les chercheurs de Pradeo nous en confient la raison :

L’application imite le comportement d’applications légitimes de retouche photo. En fait, il a été injecté avec un petit morceau de code qui passe facilement sous le radar des sauvegardes du magasin.

Hélas, coupez la tête du cheval de Troie et il est fort à parier qu’elle repoussera inlassablement sous une autre forme.

À lire également : SharkBot : ces antivirus cachent un malware !

App app app hourah !

Comme on nous explique dans le billet, les cybercriminels utilisent en effet la technique du repackaging pour continuer à faire vivre leur écurie. Ils n’ont qu’à copier le code d’une application et la faire renaître à la vie sous une nouvelle identité et avec une icône tout neuf. Parfois, cette pratique est même automatisée et la publication des programmes abritant Facestealer se fait d’elle-même à intervalle régulier sur les stores. Une fois les identifiants récupérés, les hackers utilisent les comptes Facebook piratés pour dépenser votre argent et contacter vos amis pour leur partager des liens de phishing. Encore plus vicieux, certains en profitent aussi pour lancer des campagnes de désinformation.

@Pradeo

Aujourd’hui, Craftsart Cartoon Photo Tools a été bannie du Play Store mais il est fort probable que vous puissiez encore la trouver dans les magasins alternatifs bien moins regardant sur la qualité des applications qu’ils proposent. Méfiez-vous en comme de la peste et, si vous avez eu le malheur de la télécharger, désinstallez-la sur le champ et faites-la disparaître dans les limbes de votre mémoire.


Laisser un commentaire