信息化觀察網(wǎng)

下載量超過580萬的安卓應(yīng)用可竊取用戶Facebook密碼。

Doctor Web研究人員在谷歌play應(yīng)用商店中發(fā)現(xiàn)了多個惡意應(yīng)用，可以竊取Facebook用戶的登錄憑證和密碼。這些竊取器木木以非惡意軟件的形式傳播，惡意軟件下載量超過585.6萬次。

研究人員共發(fā)現(xiàn)了10個木馬應(yīng)用，其中9個可以在谷歌play應(yīng)用商店中下載：

?其中一個照片處理的軟件名為Processing Photo，是由開發(fā)者chikumburahamilton傳播的，下載量超過50萬次；

?訪問安卓設(shè)備上其他軟件的應(yīng)用：比如APP LOCK KEEP，下載量超過5萬次；

?開發(fā)者SNT.rbcl開發(fā)的Rubbish Cleaner，一個優(yōu)化安卓設(shè)備性能的小工具。下載量超過10萬次。

?占卜程序Horoscope Daily和Horoscope Pi，下載量分別超過10萬次和1000次。

?開發(fā)者Reuben Germaine開發(fā)的健身應(yīng)用Inwell Fitness，下載量超過10萬次。

?圖像編輯應(yīng)用PIP Photo，下載量超過500萬次。

研究人員將相關(guān)結(jié)果報告給了谷歌，隨后部分也應(yīng)用已經(jīng)從谷歌應(yīng)用商店被移除。但是截至本文發(fā)布，仍然有部分應(yīng)用可以下載。

研究人員在分析竊取器木馬時發(fā)現(xiàn)一個之前通過谷歌應(yīng)用商店傳播的圖像編輯軟件——EditorPhotoPip。該應(yīng)用已經(jīng)從官方應(yīng)用商店刪除了，但是在一些第三方的軟件下載網(wǎng)站上仍然可以下載。研究人員檢測到的Android.PWS.Facebook.13、Android.PWS.Facebook.14和Android.PWS.Facebook.15是原生安卓應(yīng)用程序，Android.PWS.Facebook.17和Android.PWS.Facebook.18是使用Flutter框架開發(fā)的跨平臺應(yīng)用。這些惡意軟件都是從同一個惡意軟件修改而來的，因為使用了相同的配置文件格式和相同的JS腳本來竊取用戶數(shù)據(jù)。

為使用app的功能和禁用app內(nèi)廣告，app要求用戶用其Facebook賬戶登錄。App內(nèi)的廣告是真實存在的，但目的是為了鼓勵安卓設(shè)備所有者來執(zhí)行要求的動作——使用Facebook賬戶登錄。

APP啟動時的界面如下所示：

鼓勵潛在受害者使用Facebook賬戶登錄的消息：

如果用戶同意并點擊登錄按鈕，就會看到標(biāo)準(zhǔn)的社交網(wǎng)絡(luò)登錄表單：

這些表單是無害的。木馬使用了一種特殊的機制來誘惑受害者。惡意軟件啟動后，在從C2服務(wù)器接收到必要的設(shè)置后，就會加載合法的Facebook web頁面https://www.facebook.com/login.php到webview中。然后，在同一webview中加載從C2服務(wù)器接收到的JS。JS腳本是用來劫持用戶輸入的登錄憑證的。之后，JS代碼會竊取用戶輸入的登錄憑證和密碼并傳遞給木馬應(yīng)用，然后傳輸數(shù)據(jù)到攻擊者的C2服務(wù)器。受害者在登錄賬戶后，木馬也會從當(dāng)前的認(rèn)證會話中竊取cookie。這些竊取的cookie也會發(fā)送給攻擊者。

研究人員分析發(fā)現(xiàn)攻擊者可以很容易的修改木馬的設(shè)置，加載其他合法服務(wù)的web頁面。甚至還可以在釣魚網(wǎng)站中使用完全偽造的表單，因此該木馬可以用來從任意服務(wù)竊取登錄憑證和密碼。

本文翻譯自：https://news.drweb.com/show/?i=14244&lng=en