Posté le mars 23, 2022 à 9:51

DES CHERCHEURS METTENT EN GARDE CONTRE UN LOGICIEL MALVEILLANT QUI SE FAIT PASSER POUR UN ÉDITEUR DE PHOTOS SUR PLAY STORE

Une application contenant un logiciel malveillant de vol de mots de passe a été découverte sur Google Play Store. Selon le rapport, l’application se déguise en outil de retouche photo mais a été conçue pour voler les mots de passe des appareils ciblés. L’application a déjà été téléchargée plus de 100 000 fois sur Google Play Store.

Alors que l’application poursuit sa mission de logiciel malveillant, elle fournit également aux utilisateurs de nombreux filtres de dessins animés, leur permettant de poster une version caricaturale de leurs photos sur leurs plateformes de médias sociaux.

Il devait s’agir d’une simple application de retouche photo inoffensive de Play Store, mais elle s’est avérée être une application de vol de mot de passe qui semble authentique.

La plupart des applications trouvées sur la boutique Google Play sont considérées comme authentiques par les utilisateurs, car la plateforme passe par un processus de filtrage qui supprime immédiatement les applications dangereuses. Toutefois, dans certains cas, la plateforme peut ne pas détecter une mauvaise application qui utilise des techniques sophistiquées pour cacher ses véritables intentions.

L’application malveillante est accompagnée de la menace Android Facestealer

Les chercheurs en cybersécurité ont déclaré qu’il existe un « petit morceau de code malveillant qui passe facilement sous le radar des protections de la boutique. » Cela permet aux acteurs malveillants de déposer l’application de diffusion de logiciels malveillants sur Play Store.

Les chercheurs ont souligné que l’application malveillante de retouche photo comporte également une menace Android connue sous le nom de Facestealer, qui a été répertoriée sur Play Store par le biais d’applications authentiques et inoffensives.

Selon une analyse récente de la société de cybersécurité Malwarebytes, l’application exige de ses utilisateurs qu’ils remplissent certaines conditions avant de pouvoir accéder à leurs appareils. Elle demande aux utilisateurs qui souhaitent utiliser les fonctions de retouche photo de l’application de se connecter d’abord à leur compte Facebook.

Après que l’utilisateur se soit connecté à son compte Facebook pour accéder à l’application malveillante de retouche photo, le JavaScript procède au vol des informations de connexion, notamment l’adresse électronique et le mot de passe.

Ensuite, le logiciel malveillant dirige la victime, lui donnant accès à son compte et permettant au cheval de Troie de voler diverses informations sur les comptes Facebook de la victime.

Ces informations comprennent des détails de paiement, des messages, des numéros de téléphone, des adresses électroniques, ainsi que des adresses IP.

L’application malveillante peut être disponible sur d’autres boutiques

Bien que l’application de retouche de photos de dessins animés ait été supprimée de Google Play Store, il se peut qu’elle soit encore disponible au téléchargement sur d’autres magasins d’applications. En conséquence, les chercheurs fournissent les détails de l’exploit de l’application pour permettre aux utilisateurs de découvrir facilement leurs méthodes opérationnelles et les empêcher de devenir les prochaines victimes.

Un chercheur en sécurité de Jamf, Michal Rajčan, a déclaré que lorsque les utilisateurs saisissent leurs informations d’identification, l’application les envoie automatiquement à un serveur de commande et de contrôle de l’acteur de la menace.

En outre, après avoir envoyé des informations au serveur C2, l’application malveillante se connecte à l’URL www.dozenorms[.]club [VirusTotal], où elle peut envoyer d’autres données. Cette adresse a également été utilisée par le passé pour la promotion d’autres applications Android malveillantes FaceStealer.

Selon le rapport de Predeo, le distributeur et l’auteur des applications semblent avoir automatisé le processus de reconditionnement et inséré de petits codes malveillants dans l’application légitime.

Cela permet aux applications de passer à travers le processus de contrôle et de vérification de Play Store sans éveiller de soupçons. Une fois que les utilisateurs ouvrent l’application, aucune fonctionnalité ne s’affiche, pas avant qu’ils ne se connectent à leur compte Facebook.

Mais une fois que les utilisateurs ont réussi à se connecter à l’application, celle-ci offre une fonctionnalité limitée via le téléchargement vers l’éditeur en ligne http://color.photofuneditor.com/, qui applique ensuite un filtre graphique à la photo.

Ensuite, la nouvelle image est affichée dans l’application, ce qui permet à l’utilisateur de la télécharger ou de l’envoyer à ses amis. De même que de nombreuses applications obligent les utilisateurs à se connecter à un serveur tel que Facebook pour accéder à leur plateforme, cette application malveillante en a également profité.

De nombreux utilisateurs considèrent désormais l’invite de connexion comme normale, ce qui les rend plus vulnérables à un large éventail d’applications malveillantes. Dans la plupart des cas, une fois qu’ils sont dirigés vers la page Facebook, ils saisissent leurs identifiants de connexion sans se méfier. C’est ainsi que les applications malveillantes acquièrent les informations de connexion des utilisateurs, installent des logiciels malveillants et volent des informations très importantes.

Les chercheurs en sécurité ont averti les gens d’être très prudents vis-à-vis des applications cartoonifer et de faire attention lorsqu’ils installent des applications qui leur demandent de se connecter à leurs comptes Facebook.