信息來(lái)源:51CTO
下載量超過(guò)580萬(wàn)的安卓應(yīng)用可竊取用戶Facebook密碼。
Doctor Web研究人員在谷歌play應(yīng)用商店中發(fā)現(xiàn)了多個(gè)惡意應(yīng)用,可以竊取Facebook用戶的登錄憑證和密碼。這些竊取器木木以非惡意軟件的形式傳播,惡意軟件下載量超過(guò)585.6萬(wàn)次。
研究人員共發(fā)現(xiàn)了10個(gè)木馬應(yīng)用,其中9個(gè)可以在谷歌play應(yīng)用商店中下載:
-
其中一個(gè)照片處理的軟件名為Processing Photo,是由開(kāi)發(fā)者chikumburahamilton傳播的,下載量超過(guò)50萬(wàn)次;
-
訪問(wèn)安卓設(shè)備上其他軟件的應(yīng)用:比如APP LOCK KEEP,下載量超過(guò)5萬(wàn)次;
-
開(kāi)發(fā)者SNT.rbcl 開(kāi)發(fā)的Rubbish Cleaner,一個(gè)優(yōu)化安卓設(shè)備性能的小工具。下載量超過(guò)10萬(wàn)次。
-
占卜程序Horoscope Daily和Horoscope Pi,下載量分別超過(guò)10萬(wàn)次和1000次。
-
開(kāi)發(fā)者Reuben Germaine開(kāi)發(fā)的健身應(yīng)用Inwell Fitness,下載量超過(guò)10萬(wàn)次。
-
圖像編輯應(yīng)用PIP Photo,下載量超過(guò)500萬(wàn)次。
研究人員將相關(guān)結(jié)果報(bào)告給了谷歌,隨后部分也應(yīng)用已經(jīng)從谷歌應(yīng)用商店被移除。但是截至本文發(fā)布,仍然有部分應(yīng)用可以下載。
研究人員在分析竊取器木馬時(shí)發(fā)現(xiàn)一個(gè)之前通過(guò)谷歌應(yīng)用商店傳播的圖像編輯軟件——EditorPhotoPip。該應(yīng)用已經(jīng)從官方應(yīng)用商店刪除了,但是在一些第三方的軟件下載網(wǎng)站上仍然可以下載。研究人員檢測(cè)到的Android.PWS.Facebook.13、Android.PWS.Facebook.14和Android.PWS.Facebook.15 是原生安卓應(yīng)用程序,Android.PWS.Facebook.17和Android.PWS.Facebook.18是使用Flutter框架開(kāi)發(fā)的跨平臺(tái)應(yīng)用。這些惡意軟件都是從同一個(gè)惡意軟件修改而來(lái)的,因?yàn)槭褂昧讼嗤呐渲梦募袷胶拖嗤腏S腳本來(lái)竊取用戶數(shù)據(jù)。
為使用app的功能和禁用app內(nèi)廣告,app要求用戶用其Facebook賬戶登錄。App內(nèi)的廣告是真實(shí)存在的,但目的是為了鼓勵(lì)安卓設(shè)備所有者來(lái)執(zhí)行要求的動(dòng)作——使用Facebook賬戶登錄。
APP啟動(dòng)時(shí)的界面如下所示:
鼓勵(lì)潛在受害者使用Facebook賬戶登錄的消息:
如果用戶同意并點(diǎn)擊登錄按鈕,就會(huì)看到標(biāo)準(zhǔn)的社交網(wǎng)絡(luò)登錄表單:
這些表單是無(wú)害的。木馬使用了一種特殊的機(jī)制來(lái)誘惑受害者。惡意軟件啟動(dòng)后,在從C2服務(wù)器接收到必要的設(shè)置后,就會(huì)加載合法的Facebook web頁(yè)面https://www.facebook.com/login.php 到webview中。然后,在同一webview中加載從C2服務(wù)器接收到的JS。JS腳本是用來(lái)劫持用戶輸入的登錄憑證的。之后,JS代碼會(huì)竊取用戶輸入的登錄憑證和密碼并傳遞給木馬應(yīng)用,然后傳輸數(shù)據(jù)到攻擊者的C2服務(wù)器。受害者在登錄賬戶后,木馬也會(huì)從當(dāng)前的認(rèn)證會(huì)話中竊取cookie。這些竊取的cookie也會(huì)發(fā)送給攻擊者。
研究人員分析發(fā)現(xiàn)攻擊者可以很容易的修改木馬的設(shè)置,加載其他合法服務(wù)的web頁(yè)面。甚至還可以在釣魚(yú)網(wǎng)站中使用完全偽造的表單,因此該木馬可以用來(lái)從任意服務(wù)竊取登錄憑證和密碼。