Un logiciel malveillant Android, baptisé Facestealer, sévit sur le Play Store et présente le désagréable défaut de s'emparer du compte Facebook de ses victimes.
Un logiciel espion, nommé Facestealer, a été découvert par plusieurs entreprises spécialisées en sécurité informatique ces derniers jours, comme Pradeo ou Malwarebytes Labs, après avoir été installé par plus de 100 000 utilisateurs tombés dans le piège au gré de leur utilisation du Google Play Store. Le malware fait appel à l'ingénierie sociale pour compromettre les comptes Facebook des utilisateurs. Voyons ce qu'il en est dans le détail.
Les pirates utilisaient un écran de connexion à Facebook factice, pour accéder au compte depuis l'application frauduleuse
Distribué sur Android via le Play Store, le malware Facestealer (nom de code Android/Trojan.Spy.Facestealer) se présentait, à l'origine, comme une banale application de type dessin animé, nommée « Craftsat Cartoon Photo Tools », dont le principe est simple : l'utilisateur télécharge une image ou une photo, et l'application se charge de la convertir en image de cartoon. Une vraie tendance chez les mobinautes, que les pirates ne rechignent pas à exploiter.
Comme souvent lorsque vous utilisez une application mobile, celle-ci demande d'y lier votre compte Facebook, par exemple pour obtenir certaines avantages. Parfois, il est obligatoire de lier le compte Facebook à l'application. C'est à ce moment-là que le malware fait sa petite affaire. Sauf que la page de connexion Facebook ne provient alors pas réellement du réseau social, mais des pirates, qui se servent d'un écran de connexion Facebook plus vrai que nature pour dérober l'identifiant et le mot de passe de l'utilisateur.
Alors pourquoi prendre possession du ou des comptes Facebook des victimes ? Les hackers utilisent ces comptes de différentes manières. Ils peuvent envoyer des liens de phishing, diffuser de fausses informations à l'aide de comptes légitimes, ou commettre des fraudes et autres escroqueries financières. Outre le compte Facebook, les pirates s'emparent aussi d'éléments comme l'adresse IP de l'appareil utilisé par la victime, mais aussi les informations liées à la carte de crédit (si elles ont été renseignées), toutes les conversations, les recherches et autres.
L'application, installée plus de 100 000 fois, a été retirée du Play Store le 22 mars
Cette application malveillante, qui a été retirée du Play Store le 22 mars, a au moins été installée à 100 000 reprises, donc ce sont potentiellement des dizaines de milliers de personnes qui, à travers le monde, sont tombées dans le piège de Craftsart. Pour passer au travers des mailles du filet Android, les hackers ont injecté un petit morceau de code qui permet à l'application de vivre tranquillement sa vie sur la boutique d'applications de Google, qui on le sait est moins restrictive du point de vue sécuritaire que sa concurrente l'App Store.
Selon Pradeo, qui a effectué un travail de fond sur ce logiciel espion, l'application Craftsart Cartoon Photo « établit des connexions à un domaine enregistré en Russie ». L'entreprise indique que ce domaine est désormais utilisé depuis 7 ans, mais par intermittence seulement. Il est connecté à plusieurs applications mobiles pirates, qui heureusement sont aujourd'hui toutes écartées du Play Store.
Source : Pradeo, Malwarebytes Labs
