Meta a identifié 400 applications mobiles malveillantes (dont 47 sur iOS) qui volent les identifiants et mots de passe de connexion à Facebook. Sur Android, il s'agit d'apps en tout genre, comme des appareils photo, des éditeurs d'images, des VPN, des horoscopes ou encore du suivi d'activité sportive ; sur iOS, les malandrins ciblent plus spécifiquement les utilisateurs des services business du réseau social, avec des applications pour gérer ses statistiques ou ses campagnes publicitaires.

Le principe est toujours le même : ces apps demandent de s'identifier en se connectant à Facebook, et au lieu de fournir les services demandés, elles subtilisent les informations de connexion. Les chercheurs en sécurité de Meta indiquent que Facebook a prévenu un million d'utilisateurs de ces apps, avec la recommandation de réinitialiser les mots de passe pour éviter tout problème.

Meta ne donne pas la liste complète des apps, néanmoins le groupe a partagé ses découvertes avec Apple et Google, qui devront faire le ménage dans leurs boutiques.