1er juillet 2021

Les analystes de Doctor Web ont détecté plusieurs applications malveillantes sur Google Play qui volent des logins et des mots de passes d’utilisateurs de Facebook. Ces Trojans-Stealers ont été diffusés sous le couvert d'applications inoffensives dont le nombre total d'installation a dépassé les 5.856.010.

Au total, nos experts ont identifié 10 applications de Trojans de ce type. Dont 9 restaient présentes sur Google Play au moment de leur détection :

• éditeur photo nommé Processing Photo et qui est détecté par Dr.Web comme Android.PWS.Facebook.13. Il a été propagé par son développeur chikumburahamilton, ce malware a été installé plus de 500.000 fois.
• applications App Lock Keep du développeur Sheralaw Rence, App Lock Manager éditée par Implummet col et Lockit Master du développeur Enali mchicolo (détectées comme Android.PWS.Facebook.13), ces programmes malveillants permettent de configurer une limitation d'accès aux appareils Android et aux logiciels installé sur les appareils. Ces malwares ont été téléchargés au moins 50 000, 10 et 5 000 fois respectivement.
• un utilitaire destiné à optimiser le fonctionnement d'appareils Android - Rubbish Cleaner du développeur SNT.rbcl qui été téléchargé plus de 100 000 fois (détecté par Dr.Web comme Android.PWS.Facebook.13).
• programmes d'astrologie Horoscope Daily du développeur HscopeDaily momo et Horoscope Pi du développeur Talleyr Shauna (détectés comme Android.PWS.Facebook.13). La première appli a été installée plus de 100 000 fois et la seconde - plus de 1000 fois.
• programme de fitness Inwell Fitness (détecté comme Android.PWS.Facebook.14) du développeur Reuben Germaine, qui a connu plus de 100 000 installations.
• éditeur d'image PIP photo diffusé par le développeur Lillians. Les différentes versions de ce programme sont détectées comme Android.PWS.Facebook.17 et Android.PWS.Facebook.18. Cette application a été téléchargée plus de 5 millions de fois.

Dès que les experts de Doctor Web ont rapporté le problème à Google, Inc., une partie des applications malveillantes ont été retirées mais au moment de la sortie de cette publication, certaines d'entre elles restent encore disponibles en téléchargement.

De plus, l'étude de ces stealers a montré l’existence d’une version antérieure d’un de ces malwares, propagée via Google Play sous couvert de l’éditeur photo EditorPhotoPip. Bien qu’il ait été retiré du catalogue, il restait disponible en téléchargement sur les sites d'agrégateurs d'applications. Il a été ajouté à la base de données virales Dr.Web comme Android.PWS.Facebook.15.

Android.PWS.Facebook.13, Android.PWS.Facebook.14 et Android.PWS.Facebook.15 sont des applications Android natives, tandis que Android.PWS.Facebook.17 et Android.PWS.Facebook.18 utilisent le framework Flutter, conçu pour le développement multi-plateforme. Malgré cela, elles peuvent être considérées comme des modifications du même Trojan, car elles utilisent le même format de fichiers de configuration et les mêmes scripts JavaScript pour voler des données.

Les applications étaient pleinement opérationnelles, ce qui devrait affaiblir la vigilance de leurs victimes potentielles. Pour accéder à toutes leurs fonctions, ainsi que pour prétendument désactiver la publicité, les utilisateurs étaientinvités à se connecter à leurs comptes Facebook. Certaines applications contenaient des publicités, et ceci pouvait également affaiblir l'attention des utilisateurs et les pousser à exécuter une action proposée par les pirates.

Voici l'apprence de certains Trojans après le lancement :

Et voici le message qui invitait les victimes potentielles à se connecter à leurs comptes Facebook :

Si l'utilisateur acceptait la proposition et qu'il cliquait sur le bouton, il voyait un formulaire standard de saisie de login et de mot de passe, comme sur l'image suivante :

Il est à noter que les champs de saisie sont authentiques. Les Trojan utilisent un mécanisme spécialisé pour tromper leurs victimes. Après avoir reçu les paramètres d'un des serveurs de contrôle, les pirates téléchargent la page légitime de Facebook https://www.facebook.com/login.php dans WebView. Dans cette même WebView, ils téléchargent JavaScript depuis leur serveur qui intercepte les données d'authentifications saisies. Ensuite, le JavaScript, en utilisant les méthodes fournies via JavascriptInterface, transmet les logins et les mots de passe volés aux applications, qui à leur tour les envoient au serveur des pirates. Une fois qu’une victime est connectée à son compte, les Trojans volaient également les fichiers cookies de la session d'authentification pour les envoyer aux pirates.

L'analyse de ces programmes malveillants a montré qu'ils ont tous reçu les paramètres nécessaires pour voler des noms d'utilisateur et mots de passe des comptes Facebook. Cependant, les attaquants sont en mesure de changer facilement les paramètres et de donner la commande de télécharger la page d'un service légitime ou d'utiliser un formulaire de saisie contrefait publié sur un site de phishing. Ainsi, les chevaux de Troie peuvent être utilisés pour voler des noms d'utilisateur et mots de passe de n'importe quel service.

Le programme malveillant Android.PWS.Facebook.15 qui est une modification antérieure, est identique aux autres, mais il comprend également la sortie des données vers un fichier log dans la langue chinoise, ce qui peut indiquer son origine.

Voici l'apparence du Trojan Android.PWS.Facebook.15 et des exemples de la sortie de ses données dans un journal :

Doctor Web recommande à tous les propriétaires d'appareils Android d'installer uniquement les applications provenant d’éditeurs connus et fiables ainsi que de faire attention aux avis publiés. Les avis ne donnent pas une garantie absolue de sécurité, mais ils peuvent signaler une menace potentielle. Faites également attention aux programmes qui vous proposent de vous connecter à un réseau social ou à un service. Si vous n'êtes pas sûr de la sécurité des actions proposées, il faut refuser de continuer et supprimer le programme suspect.

Les produits antivirus Dr.Web pour Android détectent et éradiquent toutes les modifications connues des Trojans Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.15, Android.PWS.Facebook.17 et Android.PWS.Facebook.18, qui ne représentent aucun danger pour nos utilisateurs.

Indicateurs de compromission

En savoir plus sur Android.PWS.Facebook.13

En savoir plus sur Android.PWS.Facebook.14

En savoir plus sur Android.PWS.Facebook.15

En savoir plus sur Android.PWS.Facebook.17

En savoir plus sur Android.PWS.Facebook.18

Votre Android a besoin d'une protection.

Utilisez Dr.Web

• Premier antivirus russe pour Android
• Plus de 140 millions de téléchargements sur Google Play
• Gratuit pour les utilisateurs des produits Dr.Web pour les particuliers

Télécharger gratuitement