GhostTeam : 53 applis infectées par un malware qui vole les identifiants Facebook

Publié le

Après Skygofree, voici GhostTeam, un malware Android capable de dérober les identifiants Facebook de ses victimes et d’injecter des publicités intrusives. Ce sont des chercheurs de Trend Micro qui ont fait cette découverte. GhostTeam serait présent dans plus de cinquante applications.

Selon les experts en sécurité, le malware serait apparu pour la première fois en avril 2017 sur Google Play au sein d’une série d’applications très populaires comme des utilitaires, des outils de téléchargements de vidéos sur les réseaux sociaux ou encore des outils d’optimisation. Certaines de ces applications sont téléchargées des centaines de milliers de fois. 

L’une des applications incriminées (Trend Micro)

Comment fonctionne Ghosteam ?

Une fois téléchargé, le malware va dans un premier temps vérifier qu’il n’est pas exécuté dans un environnement virtuel ou dans un émulateur Android. Cette stratégie a d’ailleurs eu pour conséquence de ralentir les chercheurs chargés d’examiner le code du malware.

Après cette vérification, Ghosteam passe à l’action et imite l’application “Google Play Services”. Il affiche une fausse notification invitant à vérifier une application et incitant à télécharger une fausse version de “Google Play Services”. Une fois cette version malveillante téléchargée, elle demande à l’utilisateur l’accès aux privilèges administrateur de l’appareil. Une fois autorisé, GhostTeam prend alors le contrôle de l’appareil et peut réellement commencer sa besogne.

La troisième étape de l’infection consiste à  récupérer les identifiants Facebook de la victime en lui affichant une page semblable à celle permettant de vérifier son compte. GhostTeam opère alors en arrière-plan en injectant du code malveillant dans un Client WebView pour dérober l’adresse mail et le mot de passe de la victime. 


Code malveillant utilisé pour dérober les identifiants (Trend Micro)

 

A quoi servent les données dérobées ?

D’après les chercheurs de Trend Micro, les comptes Facebook récupérés pourrait être utilisés pour propager des fakes news ou encore des logiciels malveillants similaires. Ils pourraient également servir à miner des cryptomonnaies.

GhostTeam pourrit littéralement le système de l’appareil en le bombardant de publicités très intrusives sous la forme de pop-ups permettant à l’attaquant de générer des revenus à partir des clics. Les publicités s’affichent d’ailleurs en plein écran et forcent l’appareil à rester éveillé en proposant du contenu indésirable en arrière-plan.

Le malware cible avant tout le marché indien. L’inde est depuis peu le pays avec le plus grand nombre d’utilisateurs facebook, une aubaine pour les hackers derrière GhostTeam. D’autre pays comme le Brésil, l’Australie, les Philippines et l’Indonésie ont également été touchés.


Crédits : Trend Micro

Le malware aurait été mis au point par des cybercriminels basés au Vietnam. Trend Micro bien évidemment fait part de ses découvertes à Google et toutes les applications infectées ont été supprimées de la marketplace.

Comment se protéger contre GhostTeam et les malware similaires ?

GhostTeam est un malware sophistiqué plutôt coriace mais il y a un certain nombre de réflexes à adopter pour éviter ce type d’infection. Le premier est de vérifier constamment l’authenticité des applications téléchargées sur son smartphone et vérifier que ce dernier est à jour. 

Il faut également éviter de manipuler les privilèges administrateur si on ne maitrise pas ces notions. Désactivez les le cas échéant. Enfin, si vous pensez que votre compte Facebook a été piraté et que vous y avez toujours accès, modifiez votre mot de passe.

Source : Zdnet.com

Sending
User Review
0 (0 votes)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet