NowościOprogramowanie

Aplikacje z 5,8 milionami pobrań z Google Play ukradły hasła użytkowników do Facebooka

Aplikacje z 5,8 milionami pobrań z Google Play ukradły hasła użytkowników do Facebooka

Mateusz Słodkowski / SOPA Images / LightRocket przez Getty Images

Google uruchomiło dziewięć aplikacji na Androida pobranych ponad 5,8 miliona razy z rynku Play firmy po tym, jak badacze stwierdzili, że aplikacje te w podstępny sposób wykradły dane logowania do Facebooka.

Zgodnie z postem opublikowanym przez firmę ochroniarską Dr. Sieć. Wszystkie zidentyfikowane aplikacje oferowały użytkownikom możliwość wyłączenia reklam w aplikacji poprzez zalogowanie się na swoje konta na Facebooku. Użytkownicy, którzy wybrali tę opcję, zobaczyli prawdziwy formularz logowania do Facebooka zawierający pola do wpisywania nazwy użytkownika i hasła.

Następnie, jak napisali badacze dr Web:

Te trojany wykorzystywały specjalny mechanizm do oszukiwania swoich ofiar. Po otrzymaniu niezbędnych ustawień z jednego z serwerów C&C po uruchomieniu załadowali legalną stronę internetową Facebooka https://www.facebook.com/login.php do WebView. Następnie ładowali JavaScript otrzymany z serwera C&C do tego samego WebView. Ten skrypt został bezpośrednio użyty do przejęcia wprowadzonych danych logowania. Następnie ten JavaScript, korzystając z metod dostarczonych przez adnotację JavascriptInterface, przekazywał skradziony login i hasło do aplikacji trojańskich, które następnie przekazywały dane na serwer C&C atakującego. Po tym, jak ofiara zalogowała się na swoje konto, trojany wykradły również pliki cookie z bieżącej sesji autoryzacyjnej. Te pliki cookie zostały również wysłane do cyberprzestępców.

Analiza szkodliwych programów wykazała, że ​​wszystkie otrzymały ustawienia do kradzieży loginów i haseł do kont Facebooka. Jednak osoby atakujące mogły z łatwością zmienić ustawienia trojanów i nakazać im załadowanie strony internetowej innej legalnej usługi. Mogli nawet użyć całkowicie fałszywego formularza logowania znajdującego się na stronie phishingowej. W ten sposób trojany mogły zostać użyte do kradzieży loginów i haseł z dowolnej usługi.

Dr Web

Badacze zidentyfikowali pięć wariantów złośliwego oprogramowania ukrytych w aplikacjach. Trzy z nich były natywnymi aplikacjami na Androida, a pozostałe dwie wykorzystywały framework Flutter firmy Google, który został zaprojektowany z myślą o kompatybilności międzyplatformowej. Dr Web powiedział, że klasyfikuje je wszystkie jako tego samego trojana, ponieważ używają identycznych formatów plików konfiguracyjnych i identycznego kodu JavaScript do kradzieży danych użytkownika.

Dr Web zidentyfikował warianty jako:

Większość pobrań dotyczyła aplikacji o nazwie PIP Photo, do której uzyskano dostęp ponad 5,8 miliona razy. Kolejnym największym zasięgiem była aplikacja Processing Photo z ponad 500 000 pobrań. Pozostałe aplikacje to:

Wyszukiwanie w Google Play pokazuje, że wszystkie aplikacje zostały usunięte z Play. Rzecznik Google powiedział, że firma zakazała również twórcom wszystkich dziewięciu aplikacji ze sklepu, co oznacza, że ​​nie będą mogli przesyłać nowych aplikacji. To słuszna rzecz, którą powinien zrobić Google, ale stanowi to jednak tylko minimalną przeszkodę dla programistów, ponieważ mogą po prostu zarejestrować nowe konto programisty pod inną nazwą za jednorazową opłatą w wysokości 25 USD.

Każdy, kto pobrał jedną z powyższych aplikacji, powinien dokładnie sprawdzić swoje urządzenie i konta na Facebooku pod kątem jakichkolwiek oznak włamania. Pobranie darmowej aplikacji antywirusowej na Androida od znanej firmy zajmującej się bezpieczeństwem i skanowanie w poszukiwaniu dodatkowych złośliwych aplikacji również nie jest złym pomysłem. Oferta Malwarebytes jest moją ulubioną.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook