Hacktu Magazine Le magazine de la cybersécurité
La populaire application mobile de retouche photo « Craftsart Cartoon Photo Tools » disponible dans le store officiel de Google contient une version du malware Facestealer.
Selon les chercheurs de Pradeo, des portions de code malveillant ont été identifiées dans l’application de retouche photo cumulant plus de 100.000 installations. L’application compromise contient un logiciel malveillant capable de voler toutes les informations des comptes de médias sociaux des victimes.
C’EST QUOI FACESTEALER ?
Facestealer est un malware Android bien connu qui a déjà infecté plusieurs applications présentes dans Google Play. Une fois l’application lancée pour la première fois, elle guide l’utilisateur vers la page de connexion principale légitime de Facebook et demande aux utilisateurs de se connecter avant de pouvoir utiliser l’application. Ensuite, « le code JavaScript malveillant injecté vole les identifiants de connexion et les envoie à un serveur de commande et de contrôle ».
Le cheval de Troie est capable de récupérer les informations des comptes Facebook des victimes, notamment les adresses e-mail et les adresses IP, les numéros de téléphone, les historiques de conversations et de messagerie, les détails de carte de crédit, les listes d’amis, etc. Une fois, les informations d’accès aux comptes de réseaux sociaux récupérés les cyberattaquants peuvent prendre le contrôle des comptes de leurs et réaliser de nombreuses autres actions malveillantes.
Selon les experts de Pradeo, Craftsart Cartoon Photo Tools, l’application établit des connexions à un domaine enregistré en Russie qui est utilisé depuis au moins sept ans comme adresse de commande et de contrôle (C2) pour diverses applications Android malveillantes. Ce domaine est lié à plusieurs applications mobiles malveillantes qui étaient à certains moments disponibles sur Google Play et supprimées par la suite. Tout laisse à croire qu’il s’agit d’un individu ou un groupe d’individu spécialisé dans ce mode opératoire et ciblant spécifiquement la plateforme Google play.
Même si les analystes de Pradeo ont affirmé avoir signalés le problème aux équipes de Google Play, l’application est toujours disponible dans la boutique officielle, laissant de nombreuse utilisateurs à risques, le temps d’effectuer les vérifications selon les procédures internes de l’entreprise Américaine.
Comment ces logiciels passent-ils entre les mailles avec toutes les vérifications réalisées par Google ?
Selon kaspersky, la tactique utilisée dans le cas de Craftsart Cartoon Photo Tools est l’une des plus utilisées ces derniers mois pour infecter des logiciels déjà vérifiés et disponibles sur le plateforme de Google. En effet, pour introduire des logiciels malveillants sur Google Play, les attaquants utilisent un cheval de Troie programmé pour imiter et usurper l’identité d’une application légitime déjà publiée sur le site. Pour compliquer l’analyse dynamique, les actions de décompression sont effectuées à partir de serveurs de commandes contrôlés par des attaquants en plusieurs étapes : chaque module déchiffré contient l’adresse du suivant, ainsi que des instructions pour le déchiffrer. Des techniques toujoirs plus astucieuses permettent d’injecter régulièrement du code malveillant dans des applications très largement utilisées sur le store de Google.
