Des chercheurs en cybersécurité viennent de mettre en lumière une nouvelle campagne malveillante prenant pour cible les propriétaires d’un appareil Android. Son objectif : accéder à votre compte Facebook et le contrôler.
Selon les analystes de la société de sécurité mobile Zimperium, la campagne a déjà réussi à tromper plus de 10 000 utilisateurs à travers 140 pays.
"Cette attaque active impliquant un cheval de Troie Android, que nous avons nommé FlyTrap, indique que des groupes cybercriminels localisés autour du Vietnam tentent de détourner des comptes Facebook depuis mars 2021. FlyTrap est présent dans des fausses applications, initialement distribuées par le biais de Google Play et de boutiques tierces", détaille Aazim Yaswant, expert chez Zimperium.
- Meilleurs antivirus 2021 : quelle solution gratuite, premium ou business choisir ?
- En complément de votre antivirus, optez pour les meilleurs VPN
- Vie privée : comment rester anonyme sur Internet et les réseaux sociaux ?
M. Yaswant note que ses collègues ont réussi à renverser la situation et à utiliser les vulnérabilités de leurs serveurs de commande et de contrôle (C2) pour démanteler la campagne. Il est toutefois inquiétant de constater que ces vulnérabilités exposent une vaste base de données Facebook subtilisées dans le monde entier.
Plus complexe qu’il n’y paraît
A première vue, la campagne FlyTrap est une escroquerie banale qui consiste à tromper les victimes potentielles pour qu'elles révèlent volontairement leurs identifiants Facebook. Pour ce faire, elle les attire avec des codes de réduction gratuits pour des services tels que Netflix, Google AdWords, et bien d'autres.
Toutefois, les applications malveillantes utilisent le véritable service d'authentification unique (SSO) de Facebook, ce qui les empêche de récolter l’intégralité des informations d'identification requises par le réseau social.
Les cybercriminels contournent ce problème en employant une astuce connue sous le nom d'injection JavaScript pour collecter divers autres éléments de données sensibles et associés à la session Facebook. Notamment des cookies et des jetons.
Cela leur permet de contourner efficacement la sécurité de Facebook, avant de propager leur malware à l’ensemble des contacts de la victime.
Google a depuis retiré les applications malveillantes concernées du Play Store, après avoir été informé de leur existence par Zimperium. Cependant, les applications sont toujours disponibles sur des boutiques tierces et peuvent encore être chargées latéralement.
