Матеуш Слодковски / SOPA Images / LightRocket через Getty Images
Google запустил девять приложений для Android, которые были загружены компанией более 5,8 миллиона раз. плей маркет После того, как исследователи заявили, что эти приложения используют обманчивый метод для кражи учетных данных Facebook.
Чтобы завоевать доверие пользователей и снизить их осторожность, приложения предложили полнофункциональные услуги редактирования фотографий и кадрирования, тренировки и тренировки, гороскопы и удаление ненужных файлов с устройств Android. Почта Издано охранным предприятием d. Интернет. Все выбранные приложения предоставили пользователям возможность отключить рекламу в приложениях, войдя в свою учетную запись Facebook. Пользователи, выбравшие эту опцию, увидели оригинальную форму входа в Facebook с полями для ввода логинов и паролей.
Затем исследователи написали Dr. Интернет:
Троянцы использовали специальный механизм для обмана своих жертв. После получения необходимых настроек от одного из командно-управляющих серверов при запуске они загрузили законную веб-страницу Facebook https://www.facebook.com/login.php в WebView. Затем они загружают JavaScript, полученный от сервера управления и контроля, в тот же WebView. Этот сценарий использовался непосредственно для перехвата введенных учетных данных. Затем этот JavaScript, используя методы, предоставленные через аннотацию JavascriptInterface, передает украденные логин и пароль троянским приложениям, которые затем передают данные на сервер управления и контроля злоумышленников. После того, как жертва входит в свою учетную запись, трояны также крадут файлы cookie из текущего сеанса авторизации. Эти файлы cookie также отправляются злоумышленникам.
Анализ вредоносных программ показал, что все они получили настройки для кражи логинов и паролей учетных записей Facebook. Однако злоумышленники могли легко изменить настройки троянов и поручить им загрузить веб-страницу другого легитимного сервиса. Они могли использовать полностью поддельную форму входа, найденную на фишинговом сайте. Таким образом, можно было использовать троянов для кражи логинов и паролей от любого сервиса.
Доктор паутина
Исследователи выделили пять различных типов вредоносных программ, скрытых в приложениях. Три из них были собственными приложениями для Android, а остальные два использовали приложения Google. флаттер рамаРазработан для кросс-платформенной совместимости. Доктор Уэбб сказал, что классифицирует их всех как одного и того же троянца, поскольку они используют идентичные форматы файлов конфигурации и идентичный код JavaScript для кражи пользовательских данных.
Доктор Уэбб определил варианты как:
Большинство загрузок приходилось на приложение под названием Картинка PIP.к которому обращались более 5,8 миллионов раз. Следующим по величине хитом стало приложение Обработка изображений, с более чем 500 000 загрузок. Остальные приложения были:
Поиск в Google Play показывает, что все приложения были удалены из Play. Представитель Google сказал, что компания также запретила разработчикам всех девяти приложений доступ в Магазин, что означает, что им не будет разрешено отправлять новые приложения. Это правильный поступок для Google, но, тем не менее, он представляет собой лишь минимальные препятствия для разработчиков, поскольку они могут просто зарегистрировать новую учетную запись разработчика под другим именем за единовременную плату в размере 25 долларов США.
Любой, кто загрузил одно из вышеупомянутых приложений, должен тщательно просканировать свои устройства и свои учетные записи Facebook на предмет каких-либо признаков взлома. Загрузка бесплатного антивирусного приложения для Android от известной компании по безопасности и сканирование дополнительных вредоносных приложений тоже неплохая идея. В Взгляд из Malwarebytes Это мой любимый.