Ce matin, l’équipe de sécurité de Meta a publié un rapport expliquant comment plus de 400 applications mobiles, déguisées en outils inoffensifs tels que des éditeurs de photos, tentent de convaincre les gens de partager leurs identifiants de connexion à Facebook.
Parmi les applications détectées, 355 se trouvaient sur l’Android Play Store, et 47 sur l’iOS App Store. Ils ont été retirés par les deux entreprises. Plus de 40 % des applications étaient déguisées en outils de retouche photo. Les autres appartiennent à d’autres catégories, notamment les jeux, les VPN, les utilitaires professionnels, etc.
Le mécanisme frauduleux
La méthode mise en place est simple mais efficace :
les attaquants créent des applications malveillantes, les déguisent en outils utilitaires, puis les publient sur les magasins ;après avoir téléchargé l’application, l’utilisateur est invité à créer un compte à l’aide de la fonction Connexion avec Facebook, qui facilite la création d’un nouveau compte sur un service tiers à l’aide des informations d’identification de Facebook ;
Une fois que l’utilisateur a saisi ses identifiants de connexion, un logiciel malveillant caché dans l’application recueille et vole ces informations ;
les identifiants de connexion peuvent être utilisés pour obtenir un accès complet au compte Facebook ou pour accéder à d’autres comptes si les mêmes combinaisons d’e-mail et de mot de passe sont utilisées.
David Agranovich, directeur de l’unité de réponse aux menaces de Meta, a déclaré aux journalistes qu’il est impossible pour son équipe de déterminer le nombre exact d’utilisateurs de Facebook qui ont été touchés par cette escroquerie puisque l’attaque s’est produite sur leurs appareils personnels.
Toutefois, M. Agranovich et son équipe ont identifié au moins un million d’utilisateurs potentiellement touchés, auxquels une alerte de sécurité spécifique est envoyée.
En général, il est toujours utile d’évaluer si une application a vraiment besoin de demander un accès en utilisant des informations d’identification qui sont également valables pour d’autres applications personnelles. En général, il est toujours préférable de créer un nouveau compte en utilisant un mot de passe différent.
