Selon un rapport de l'éditeur russe de solutions de sécurité Doctor Web, une dizaine d'applications Android avaient pour objectif caché de voler des identifiants Facebook (nom d'utilisateur et mot de passe). Parmi celles-ci, neuf étaient disponibles sur Google Play.
Le nombre total d'installations a dépassé 5,8 millions. " Les applications étaient pleinement fonctionnelles, ce qui était censé affaiblir la vigilance des victimes potentielles. […] Pour accéder à toutes les fonctions des applications, et pour prétendument désactiver la publicité in-app, les utilisateurs étaient invités à se connecter à leurs comptes Facebook. "
Les chercheurs de Doctor Web expliquent qu'une page de connexion légitime de Facebook était chargée dans WebView qui permet à une application d'afficher directement du contenu web avec le rendu. Avec les versions récentes d'Android, Chrome agit en tant que système de WebView.
Dans la même WebView, du code JavaScript était reçu d'un serveur de commande et contrôle. Ce script était exploité pour le détournement des identifiants saisis et avec le vol des cookies pour une session autorisée.
Parmi les applications de type chevaux de Troie les plus téléchargées, une application PIP Photo de retouche d'image avec plus de 5 millions de téléchargements à elle seule. Les autres applications portaient les noms de Processing Photo, Rubbish Cleaner, Horoscope Daily, Inwell Fitness, App Lock Keep, Lockit Master, Horoscope Pi et App Lock Manager.
Google a fait le ménage dans le Play Store et les développeurs des applications ont été bannis. Reste qu'avant alerte, le nombre de téléchargements accumulés n'est pas négligeable.
