Nouveaux voleurs d’identifiants Instagram découverts sur Google Play

Nouveaux voleurs d’identifiants Instagram découverts sur Google Play

De nouveaux voleurs d'identifiants Instagram ciblent les utilisateurs, en prétendant être des outils pour gérer et faire augmenter du nombre de followers.

De nouveaux voleurs d’identifiants Instagram ciblent les utilisateurs, en prétendant être des outils pour gérer et faire augmenter du nombre de followers.

Les utilisateurs d’Instagram ont été la cible de plusieurs nouveaux voleurs d’identifiants, qui apparaissent sur Google Play sous forme d’outils pour la gestion ou l’augmentation du nombre de followers sur le réseau social.

Liste d'applications malveillantes sur Google Play

Figure 1 – Les applications malveillantes sur Google Play

Présentées sous le nom de détection Android/Spy.Inazigram, 13 applications malveillantes ont été découvertes dans la boutique officielle Google Play Store. Les applications hameçonnaient les identifiants Instagram et les envoyaient sur un serveur distant.

Si elles semblent provenir de Turquie, certaines renseignent leur localisation au Royaume-Uni pour cibler les utilisateurs d’Instagram du monde entier. Toutes confondues, les applications malveillantes ont été installées par près de 1,5 million d’utilisateurs. Suite à une notification d’ESET, les 13 applications ont été supprimées du Store.

Comment fonctionnent-elles ?

Toutes les applications utilisaient la même technique consistant à collecter les identifiants Instagram, puis à les envoyer sur un serveur distant. Pour convaincre les utilisateurs de télécharger les applications, ces dernières promettaient d’augmenter rapidement le nombre de followers, de likes et de commentaires sur leur compte Instagram.

Paradoxalement, les comptes piratés dans le cadre de ce vol d’identifiants Instagram ont été utilisés pour augmenter le nombre de followers d’autres utilisateurs, comme nous l’expliquerons plus loin.

Vol d'identifiants Instagram : des Followers promettant d'intensifier les activités sur Instagram

Figure 2 – « Instagram Followers » promettant d’intensifier les activités sur Instagram

Comme vous pouvez le constater sur la capture d’écran ci-dessous issue de notre analyse de l’une de ces applications nommée « Instagram Followers », l’utilisateur doit se connecter via une interface qui ressemble à Instagram. Les identifiants entrés dans les champs sont alors envoyés au serveur des pirates en texte clair. Après avoir entré ses identifiants, l’utilisateur ne pourra plus se connecter et verra apparaître le message d’erreur « mot de passe incorrect ».

Vol d'identifiants Instagram : faux écran de connexion

Figure 3 – Écran de connexion ressemblant à Instagram

Vol d'identifiants Instagram : Erreur mot de passe incorrect

Figure 4 – Erreur « mot de passe incorrect » qui empêche les utilisateurs de se connecter

Le message d’erreur affiche également une remarque invitant l’utilisateur à se rendre sur le site Web officiel d’Instagram afin de vérifier son compte et d’essayer de se connecter à l’application tierce. Étant donné que les victimes sont informées de la tentative de connexion non autorisée en leur nom et sont invitées à vérifier leur compte en ouvrant Instagram, la remarque a pour but de faire baisser la garde des utilisateurs à l’avance.

Figure 5 – Notification officielle d’Instagram concernant une tentative de connexion non autorisée

Figure 5 – Notification officielle d’Instagram concernant une tentative de connexion non autorisée

Si les pirates arrivent à leurs fins et que l’utilisateur ne détecte pas la menace après avoir lu la notification d’Instagram, les identifiants volés peuvent être utilisés pour d’autres fonctions.

Que deviennent les identifiants volés ?

Vous vous demandez peut-être comment on peut utiliser quelque cent mille identifiants volés sur Instagram ?

Mis à part la possibilité d’utiliser des comptes piratés pour diffuser des spams et des publicités, il existe plusieurs « modèles métier » dont les atouts les plus intéressants sont les followers, les likes et les commentaires.

Dans le cadre de notre recherche, nous avons tracé les serveurs recevant les identifiants et les avons connectés à des sites Web vendant divers packs conçus pour augmenter la popularité des utilisateurs sur Instagram.

Figure 6 – Sites Web proposant des followers Instagram à la vente

Figure 6 – Sites Web proposant des followers Instagram à la vente

Le schéma suivant détaille le fonctionnement du piratage :

Fonctionnement de ce vol d'identifiants Instagram

Comment se protéger ?

Si vous avez téléchargé l’une de ces applications, vous trouverez l’une de ses icônes dans vos applications installées. Vous recevrez également un message de la part d’Instagram vous informant que quelqu’un a essayé de se connecter à votre compte, comme indiqué sur la Figure 4.

Enfin, il se peut que votre compte Instagram présente un plus grand nombre de personnes qui vous suivent ou que vous suivez, et vous êtes susceptibles de recevoir des réponses à des commentaires que vous n’avez jamais postés.

Pour nettoyer votre appareil, désinstallez l’application mentionnée ci-dessus dans votre gestionnaire d’applications ou utilisez une solution de sécurité mobile fiable pour supprimer la menace.

Pour sécuriser votre compte Instagram, changez immédiatement votre mot de passe Instagram. Si vous utilisez le même mot de passe sur plusieurs plateformes, changez-les également. Les auteurs de logiciels malveillants étant connus pour accéder à d’autres services Web en utilisant les identifiants volés, nous vous conseillons d’utiliser un mot de passe différent pour chacun de vos comptes.

Pour prévenir le piratage de vos comptes sur les réseaux sociaux, gardez à l’esprit quelques points avant de télécharger une application tierce sur Google Play :

Ne renseignez pas d’informations sensibles dans des champs de connexion non fiables d’applications tierces. Pour savoir si une application est fiable, vérifiez la popularité de son développeur au nombre d’installations, aux notes et surtout, au contenu des évaluations.

Néanmoins, ne tirez pas de conclusions hâtives car de nombreuses notes et évaluations ne sont pas fiables. En cas de doute, préférez les applications de haute qualité des « Super développeurs » ou de la catégorie Choix de l’équipe.

Dernier point mais pas des moindres, utilisez une solution de sécurité mobile reconnue pour protéger votre appareil.

Exemples

Víctima de un DNS Spoofing localOpfer von Local DNS Spoofing
VíctimaOpfer
Servidor DNSDNS server
Atacante rol de DNS maliciosoAngreifer-Rolle des schädlichen DNS
Servidor maliciosoBösartiger Server
Acceso a sítio maliciosoZugriff auf schädliche Website
Consulta por www.ejemplo.comwww.example.com
Lookup
Respuesta Servidor maliciosoAntwort des bösartigen Servers

Discussion