Un nouveau rapport met en lumière une vaste campagne de fausses applications Android qui distribue le logiciel espion Facestealer.
Une nouvelle campagne de fausses applications Android fournit un logiciel espion Facestealer
Documenté pour la première fois en juillet 2021, le logiciel malveillant est conçu pour voler les identifiants et les mots de passe des comptes Facebook, et se propage via des applications frauduleuses sur Google Play. Les informations d'identification volées constituent un grave problème de sécurité, car ils peuvent permettre aux pirates d'effectuer une variété d'actions malveillantes, y compris les campagnes de phishing, fausse publication, et déposer des robots publicitaires.
Il convient également de noter que Facestealer est similaire à un autre échantillon de malware mobile, appelé joker. Ce type de malware est généralement distribué via des applications d'apparence innocente, qui se retrouvent sur des milliers d'appareils. Dans le cas de Facestealer, les applications sont plus que 200, y compris remise en forme, retouche photo, VPN, etc. Par exemple, prenons l'application Daily Fitness OL.
Comment se déroule une infection par Daily Fitness OL?
Au lancement, l'application envoie une requête à hxxps://sufen168[.]space/config pour télécharger sa configuration chiffrée. Au moment de l'analyse de Trend Micro, la configuration retournée était la suivante:
`eXyJkIjowLCJleHQxIjoiNSw1LDAsMiwwIiwiZXh0MiI6IiIsImkiOjAsImlkIjoiMTE1NTYzNDk2MTkxMjE3MiIsImwiOjAsImxvZ2luX3BpY191cmxfc3dpdGNoIjowLCJsciI6IjcwIn0`
Après le décryptage, la configuration réelle a été changée en:
{“d”:0,”poste1″:”5,5,0,2,0″,”poste2″:””,”Je”:0,”ça”:”1155634961912172″,”l”:0,”login_pic_url_switch”:0,”g / D”:”70″}
"Le" l "dans la configuration est le drapeau utilisé pour contrôler si une invite apparaît pour demander à l'utilisateur de se connecter à Facebook. Une fois que l'utilisateur se connecte à Facebook, l'application lance une WebView (un navigateur intégrable) pour charger une URL, par exemple, hxxps://toucher[.]facebook[.]com/accueil[.]php?sk=h_nor, à partir de la configuration téléchargée. Un morceau de code JavaScript est ensuite injecté dans la page Web chargée pour voler les informations d'identification saisies par l'utilisateur.," explique le rapport.
Une fois que l'utilisateur se connecte à son compte, l'application collecte le cookie, le logiciel espion crypte toutes les informations personnellement identifiables disponibles, et le renvoie au serveur distant.
Les autres applications frauduleuses partagent un modèle de comportement similaire.
En un mot, Les applications Facestealer sont intelligemment déguisées en outils simples pour les appareils Android, les rendant utiles aux utilisateurs. Ce qui est gênant c'est que, en raison de la manière dont Facebook gère sa politique de gestion des cookies, les chercheurs craignent que ces types d'applications continuent d'affliger le Play Store.
Pour éviter de télécharger une application aussi dangereuse, assurez-vous de vérifier ses avis. "Les utilisateurs doivent également faire preuve de diligence raisonnable envers les développeurs et les éditeurs de ces applications, afin qu'ils puissent mieux éviter les applications avec des sites Web douteux ou des éditeurs sommaires, surtout vu le nombre d'alternatives sur l'app store,” Trend Micro a ajouté.
D'autres exemples de logiciels malveillants mobiles ciblant les utilisateurs d'Android incluent le Cheval de Troie Android SharkBot, la Cheval de Troie GriftHorse, et l' Banquier ERMAC.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: