Un logiciel malveillant voleur de mots de passe Android infecte 100 000 utilisateurs de Google Play

Une application Android malveillante qui vole les informations d’identification de Facebook a été installée plus de 100 000 fois via le Google Play Store, et l’application est toujours disponible au téléchargement.

Le malware Android est déguisé en une application de dessin animé appelée “Craftsart Cartoon Photo Tools”, permettant aux utilisateurs de télécharger une image et de la convertir en rendu de dessin animé.

Au cours de la semaine dernière, des chercheurs en sécurité et la société de sécurité mobile Pradeo ont découvert que l’application Android incluait un cheval de Troie appelé “FaceStealer”, qui affiche un écran de connexion Facebook qui oblige les utilisateurs à se connecter avant d’utiliser l’application.

Application demandant à l'utilisateur de se connecter sur Facebook
Application demandant à l’utilisateur de se connecter sur Facebook (Pradéo)

Selon le chercheur en sécurité de Jamf Michal Rajčanlorsque les utilisateurs saisiront leurs informations d’identification, l’application les enverra à un serveur de commande et de contrôle chez zutuu[.]Info [VirusTotal]que les attaquants peuvent ensuite récupérer.

En plus du serveur C2, l’application Android malveillante se connectera à www.dozenorms[.]URL du club [VirusTotal] où d’autres données sont envoyées, et qui a été utilisé dans le passé pour promouvoir d’autres applications Android FaceStealer malveillantes.

Envoi de données à des douzaineormes[.]serveur de club
Envoi de données à des douzaineormes[.]serveur de club
La source: BleepingComputer

Comme l’explique Pradeo dans son rapport, l’auteur et le distributeur de ces applications semblent avoir automatisé le processus de reconditionnement et injecter un petit morceau de code malveillant dans une application par ailleurs légitime.

Cela aide les applications à passer à travers la procédure de vérification du Play Store sans lever de drapeaux rouges. Dès que l’utilisateur l’ouvre, il ne reçoit aucune fonctionnalité réelle à moins qu’il ne se connecte à son compte Facebook.

Cependant, une fois connecté, l’application fournira des fonctionnalités limitées en téléchargeant une image spécifiée dans l’éditeur en ligne, http://color.photofuneditor.com/, qui appliquera un filtre graphique à l’image.

Cette nouvelle image sera ensuite affichée dans l’application, où elle pourra être téléchargée par l’utilisateur ou envoyée à des amis.

Comme de nombreuses applications exigent inutilement que les utilisateurs se connectent à un serveur, dans de nombreux cas Facebook, les utilisateurs sont devenus insensibles à ces invites de connexion et saisissent plus souvent leurs informations d’identification sans méfiance.

Signes de trouble

Aussi populaires et amusantes que puissent être ces applications de dessin animé, les utilisateurs doivent être extrêmement prudents lors de l’installation de logiciels qui les obligent à saisir des informations sensibles telles que des données biométriques (images de leur visage).

Ces applications effectuent les modifications d’image et appliquent des filtres sur un serveur distant, et non localement sur l’appareil, de sorte que vos données sont téléchargées vers un emplacement distant et risquent d’être conservées indéfiniment, partagées avec d’autres, revendues, etc.

Étant donné que l’application en question est toujours sur le Play Store, on peut automatiquement supposer que l’application Android est digne de confiance. Mais malheureusement, des applications Android malveillantes se faufilent parfois dans le Google Play Store et y restent jusqu’à ce qu’elles soient détectées à partir de mauvaises critiques ou découvertes par des sociétés de sécurité.

Cependant, il est possible de repérer des applications frauduleuses et malveillantes dans de nombreux cas en consultant leurs avis sur Google Play.

Comme vous pouvez le voir ci-dessous, les avis des utilisateurs pour “Craftsart Cartoon Photo Tools” sont extrêmement négatifs, totalisant un score de seulement 1,7 étoiles sur cinq possibles. De plus, bon nombre de ces critiques avertissent que l’application a des fonctionnalités limitées et vous oblige à vous connecter d’abord à Facebook.

Avis des utilisateurs sur le Play Store
Avis des utilisateurs sur le Play Store

Deuxièmement, le nom du développeur est “Google Commerce Ltd”, ce qui indique qu’il est développé par Google. En outre, les coordonnées répertoriées incluent l’adresse e-mail Gmail d’une personne aléatoire, qui est un grand drapeau rouge.

Détails de l'application sur le Play Store
Détails de l’application sur le Play Store

Nous avons visité la page du développeur, hébergée sur Blogspot, pour lire la politique de confidentialité du projet, et nous y avons trouvé une adresse e-mail différente, donc il y a même une incohérence.

La clause de sécurité de la politique de confidentialité de l'application
La clause de sécurité de la politique de confidentialité de l’application

Enfin, nous avons tenté d’envoyer un mail à l’auteur pour un commentaire sur les allégations portées par Pradeo, mais l’une des adresses n’existe même pas.

L'adresse e-mail indiquée n'existe pas
L’adresse e-mail indiquée n’existe pas

Cela peut sembler être un examen minutieux pour chaque application que vous installez sur votre smartphone, mais cela devrait être la procédure de vérification standard pour les applications intrinsèquement risquées.

Pradeo a informé Google de la nature de l’application Craftsart Cartoon Photo Tools, et Bleeping Computer a également envoyé un message à l’équipe Play Store, Google devrait donc la supprimer sous peu.

Cependant, ceux qui ont installé l’application sur leurs appareils doivent la supprimer immédiatement, réinitialiser leurs comptes Facebook et activer l’authentification à deux facteurs pour une protection supplémentaire.

Leave a Comment