Phishing : 25 applications supprimées du Play Store après avoir volé des identifiants Facebook

Phishing : 25 applications supprimées du Play Store après avoir volé des identifiants Facebook

Google a retiré ce mois-ci 25 applications Android du Google Play Store, prises en flagrant délit de vol d’identifiants Facebook. Avant leur retrait, ces 25 applications avaient été téléchargées plus de 2,34 millions de fois (au total).

Toutes ces applications ont été développées par le même groupe d’attaquants. Et, bien qu’elles proposent des fonctionnalités différentes en apparence, elles fonctionnent toutes de la même manière.

publicité

Vraie fonctionnalité pour vrai phishing

Selon un rapport de la société française de cybersécurité Evina, partagé avec ZDNet ce mardi, les applications se présentent comme compteur de pas, éditeur d’image ou de vidéo, catalogue de fonds d’écran, lampe de poche, gestionnaire de fichiers ou encore jeu mobile.

Les applications ont bien une fonctionnalité légitime, mais elles contiennent également du code malveillant. Selon les chercheurs d’Evina, ce code détecte les applications récemment ouvertes par un utilisateur, et se trouvant au premier plan du téléphone.

Si l’application est Facebook, l’application malveillante superpose une fenêtre de navigateur web sur l’application Facebook officielle et charge une fausse page de connexion Facebook. Comme on le voit sur l’image ci-dessous, la barre bleue correspond à la véritable application Facebook, tandis que la bande noire juste en-dessous appartient à la page de phishing.

facebook-phishing-page.png

Image : Evina

Lorsqu’un utilisateur saisit ses informations de connexion sur la page de phishing, l’application malveillante enregistre les données et les envoie à un serveur distant situé sur le domaine airshop.pw (aujourd’hui disparu).

Signalement à Google et suppression des applications

Evina précise avoir trouvé le code malveillant qui a volé les identifiants Facebook par le biais de ces 25 applications et l’avoir signalé à Google fin mai. L’entreprise a retiré les applications au début du mois, après avoir vérifié les conclusions de l’entreprise de sécurité française. Certaines de ces applications étaient disponibles sur le Play Store depuis plus d’un an avant.

Lorsque Google supprime les applications malveillantes de la boutique Google Store, la société désactive également les applications sur les appareils des utilisateurs et en informe ces derniers via le service Play Protect inclus dans l’application officielle de la boutique Play Store.

La liste complète des 25 applications, leurs noms et l’identifiant du paquet sont indiqués ci-dessous :

apps-stealing-fb-creds.png

Image : Evina

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *