Selon un rapport de Trend Micro, plus de 200 applications Android distribuent le logiciel espion Facestealer (Voleur de visage) qui siphonne les informations d’identification des utilisateurs.
FaceStealer. Ce n’est pas le nom d’un énième antagoniste de film de super héros, mais un malware semblable à Joker, capable de subtiliser des informations d’identification Facebook. Il compromet ensuite les comptes en s’en sert de relais afin de mener des escroqueries par hameçonnage entre autres. Capable de modifier son code, le malware a engendré de nombreuses variantes depuis sa découverte en juillet 2021.
200 applications vérolées
« Nous avons récemment observé un certain nombre d'applications sur Google Play conçues pour effectuer des activités malveillantes telles que le vol d'informations d'identification d'utilisateur et d'autres informations utilisateur sensibles, y compris des clés privées. », écrivent les chercheurs de Trend Micro dans leur rapport. Des applications qui pour certaines sont très populaires et ont été installées plus de 100 000 fois.
Ce ne sont pas moins de 200 Apps qui ont été compromises sur le Playstore. Parmi elles, des services VPN, des applications de retouche photo, ou encore des programmes de musculation. Trend Micro détaille certaines méthodes utilisées par le malware. « L'une des applications que nous avons trouvées, nommée Daily Fitness OL, prétend être une application de fitness, avec des exercices et des démonstrations vidéo. Mais comme la variante initiale, il a été conçu pour voler les identifiants Facebook de ses utilisateurs. », détaille l’entreprise dans son rapport.
Une fois que l'utilisateur se connecte à Facebook, l'application va injecter un code JavaScript dans la page Web chargée et siphonner les informations d'identification saisies et les cookies. Les données sont ensuite envoyées sur un serveur distant et le tour est joué.
Cryptomonnaie : terrain miné
Se sont aussi plus de 40 fausses applications de minage de cryptomonnaie qui ont été identifiées. Elles collectent cette fois des clés privées et les phrases mnémoniques des utilisateurs. Ces dernières sont générées lors de la création d’un portefeuille numérique et servent à récupérer des cryptomonnaies en cas de perte d’identifiants.
« Ces applications sont conçues pour inciter les utilisateurs à acheter des services payants ou à cliquer sur des publicités en les attirant avec la perspective de faux revenus de crypto-monnaie », note Trend Micro. L’expert cyber détaille ici le cas de l’app "Cryptomining Farm Your Own Coin". Dès lors que l’utilisateur clique sur le bouton « Connect Wallet », il est invité à entrer une clé privée. Ensuite, la page de connexion du portefeuille du site Web garantit aux utilisateurs que leurs données seront cryptées avec AES (Advanced Encryption Standard) et que leurs clés privées ne seront pas conservées. Ce qui est évidemment faux. Et en cas de saisi d’une phrase mnémonique, celle-ci « est envoyée directement aux acteurs malveillants derrière l'application ou le site Web en question et est téléchargée en texte clair sur leur serveur. »
Les Apps ont depuis été supprimées par Google de Google Play. Mais la menace n’est pas pour autant écartée. Afin de se prémunir de fausses applications, Trend Micro conseille de vérifier les avis : « en particulier les négatifs, pour voir s'il y a des préoccupations ou des expériences inhabituelles d'utilisateurs réels ».