Le développeur qui se cachait derrière InstaAgent frappe encore. En novembre dernier, on découvrait cette application iOS dont l’objet était d’aider l’utilisateur d’Instagram à savoir qui avait consulté son profil. Il s’agissait en fait d’un malware dont le vrai objectif était de subtiliser identifiant et mot de passe (lire : Un malware déguisé en client Instagram sur l’App Store).

Si Apple a retiré l’application malveillante, son développeur Turker Bayram peut continuer ses activités malintentionnées en toute liberté. Et avec le blanc-seing d’Apple, puisqu’il a obtenu le feu vert de l’App Store pour deux nouvelles applications pratiquement identiques, Who Cares With Me - InstaDetector et InstaCare - Who cares with me?, disponibles aussi sur Android. Leur but est semblable à InstaCare : voler les informations des utilisateurs Instagram en leur faisant miroiter la possibilité de savoir qui avait jeté un œil sur leurs photos.

Les victimes des agissements de Bayram se plaignent de voir du spam dans leur fil Instagram ; plus grave, les identifiants et mots de passe des utilisateurs sont envoyés sur un serveur distant. Le plus important, si on a téléchargé une de ces deux applications, est donc de changer immédiatement de mot de passe dans Instagram.

D’après David L-R qui avait déjà repéré la supercherie de l’an dernier, Bayram utilise les mêmes algorithme et chiffrement de données pour envoyer les informations des utilisateurs d’Instagram sur ces fameux serveurs inconnus. Le coupable a signé son crime… Le pire dans cette histoire, c’est qu’Apple a autorisé ces applications sans sourciller. On a connu l’App Store beaucoup plus zélé pour des applications honnêtes.