Depuis le début de l'année, les chercheurs en sécurité du groupe Meta ont identifié plus de 400 applications malveillantes Android et iOS. Elles ont spécifiquement été conçues pour voler des informations de connexion à Facebook et compromettre les comptes des utilisateurs.
Ces applications ont été répertoriées sur le Google Play Store et l'App Store d'Apple. Elles se présentaient comme des applications pour l'édition de photos, des jeux, des services VPN, divers utilitaires aussi bien pour les particuliers que les professionnels.
À près de 43 %, la plus large proportion de ces applications malveillantes concerne des applications pour l'édition de photos et par exemple une application pour transformer un utilisateur en un dessin animé (cartoon).
Les utilitaires peuvent être des applications de lampe de poche, tandis que les jeux font la fausse promesse de graphismes 3D de haute qualité. Les applications de VPN prétendent augmenter la vitesse de navigation, permettre l'accès à des contenus ou des sites web bloqués. Meta donne d'autres exemples comme des applications pour l'horoscope et des trackers de fitness.
Des notifications pour un million d'utilisateurs
Le groupe qui détient Facebook et Instagram indique qu'il est difficile d'estimer le nombre d'utilisateurs ayant téléchargé de telles applications ou ayant donné leurs identifiants de connexion. Pour autant et par mesure de précaution, ce sont un million d'utilisateurs de Facebook qui vont être alertés pour une exposition potentielle à ces applications.
Une liste des applications concernées est disponible dans ce billet de blog. Ce sont 355 applications Android et 47 applications iOS. Des indicateurs de compromission et pour la détection d'une activité malveillante sont en outre proposés sur GitHub.
" Si une application de lampe de poche vous demande de vous connecter à Facebook avant de vous donner une fonctionnalité de lampe de poche, c'est probablement quelque chose dont il faut se méfier ", souligne Meta. Plus globalement, cette méfiance vaut pour des applications qui demandent des identifiants sans raison légitime.
Apple et Google ont fait le ménage
Les applications malveillantes ont été signalées à Apple et à Google avant la publication du rapport de Meta. Elles ont toutes été retirées de l'App Store et du Google Play Store. Meta précise notamment que pour dissimuler des commentaires négatifs sur les applications qui mettent en avant leur nature suspecte, les développeurs peuvent publier de faux avis afin d'inciter au téléchargement.
Le cas échéant, Meta aiguille vers la suppression immédiate d'une application d'un appareil, la réinitialisation d'un mot de passe, le choix d'un nouveau mot de passe fort et unique.
Pour l'authentification à deux facteurs et l'ajout d'une couche de sécurité supplémentaire à un compte, une application dédiée est à privilégier. Les alertes de connexion doivent être activées pour être averti si quelqu'un essaie d'accéder à un compte.