Les chercheurs de Trend Micro ont indiqué avoir détecté plus de 200 applications sur le Google Play Store infectées par un malware spécialisé dans le vol d’informations de connexion.
Ils rapportent également l’existence d’une quarantaine d’applications malveillantes qui visent les utilisateurs de crypto-monnaies.
Un spyware spécialisé dans le vol d'identifiants Facebook
En juillet 2021, Dr.Web rapportait déjà l’existence de Facestealer, un spyware dont l’objectif principal est de voler les identifiants Facebook des utilisateurs des applications sur lesquelles il se cache. Un malware toujours actif donc, puisque les chercheurs de Trend Micro ont détecté plus de 200 applications auparavant présentes sur le Google Play Store qui le contenaient. Dans leur papier, les chercheurs indiquent que, tout comme Joker, un autre malware qui hante le magasin d’applications de Google, le code de Facestealer change régulièrement, ce qui peut rendre sa détection difficile.
Ici, le spyware a été trouvé dans plusieurs types d’applications : des VPN (42), des logiciels d’édition de photo (13), des appareils photo (20) ou encore des apps de fitness. Dès que l’utilisateur lance l’application infectée, il est invité à se connecter à l’aide de son compte Facebook. Le malware lance ensuite une WebView pour charger une page web dans laquelle il injecte du code JavaScript afin de voler les identifiants de l’utilisateur. Les hackers se servent par la suite de ces données pour mener des campagnes de phishing, créer de faux posts ou créer des bots publicitaires sur le réseau social.
Trend Micro a cité le nom de quelques-unes des applications infectées :
- Daily Fitness OL
- Enjoy Photo Editor
- Panorama Camera
- Photo Gaming Puzzle
- Swarm Photo
- Business Meta Manager
Les utilisateurs de crypto-monnaies de plus en plus visés par les hackers
En plus de Facestealer, Trend Micro indique également avoir trouvé plus d’une quarantaine de fausses applications de minage de crypto-monnaies. Ce n’est pas la première fois que les chercheurs de l’entreprise font ce genre de découverte. En effet, en 2021, ils rapportaient déjà l’existence d’applications similaires. Mais, là où auparavant, elles essayaient de piéger les utilisateurs en les faisant souscrire des services payants ou cliquer sur des publicités, ces nouvelles versions vont plus loin.
L’une d'elles, « Cryptomining Farm Your own Coin », ne sert qu’à rediriger les utilisateurs vers un site web, où ils sont invités à se connecter à leur portefeuille et à entrer leurs clés privées sous couvert de miner des crypto-monnaies. Si le site indique que les clés privées ne seront pas stockées, c’est évidemment faux. Les chercheurs ont détecté que celles-ci étaient envoyées et stockées en clair sur les serveurs des acteurs malveillants. Le site vole également les phrases secrètes des utilisateurs, ce qui leur permet de prendre le contrôle de leurs portefeuilles.
Toutes ces applications ont depuis été supprimées du Google Play Store. Si l’un des comportements décrits ressemble à celui d’une application que vous auriez téléchargée, vérifiez si elle est toujours présente sur le Play Store et supprimez-la de votre téléphone.
Attention aux malwares cachés dans des fichiers PDF disponibles via Google
Sources : The Hacker News, Trend Micro
