信息來源:51CTO
下載量超過580萬的安卓應用可竊取用戶Facebook密碼����。
Doctor Web研究人員在谷歌play應用商店中發(fā)現(xiàn)了多個惡意應用���,可以竊取Facebook用戶的登錄憑證和密碼����。這些竊取器木木以非惡意軟件的形式傳播,惡意軟件下載量超過585.6萬次����。
研究人員共發(fā)現(xiàn)了10個木馬應用���,其中9個可以在谷歌play應用商店中下載:
-
其中一個照片處理的軟件名為Processing Photo����,是由開發(fā)者chikumburahamilton傳播的��,下載量超過50萬次;
-
訪問安卓設備上其他軟件的應用:比如APP LOCK KEEP����,下載量超過5萬次;
-
開發(fā)者SNT.rbcl 開發(fā)的Rubbish Cleaner,一個優(yōu)化安卓設備性能的小工具����。下載量超過10萬次。
-
占卜程序Horoscope Daily和Horoscope Pi���,下載量分別超過10萬次和1000次��。
-
開發(fā)者Reuben Germaine開發(fā)的健身應用Inwell Fitness����,下載量超過10萬次。
-
圖像編輯應用PIP Photo��,下載量超過500萬次��。
研究人員將相關結果報告給了谷歌���,隨后部分也應用已經(jīng)從谷歌應用商店被移除���。但是截至本文發(fā)布,仍然有部分應用可以下載���。
研究人員在分析竊取器木馬時發(fā)現(xiàn)一個之前通過谷歌應用商店傳播的圖像編輯軟件——EditorPhotoPip�。該應用已經(jīng)從官方應用商店刪除了����,但是在一些第三方的軟件下載網(wǎng)站上仍然可以下載。研究人員檢測到的Android.PWS.Facebook.13�、Android.PWS.Facebook.14和Android.PWS.Facebook.15 是原生安卓應用程序,Android.PWS.Facebook.17和Android.PWS.Facebook.18是使用Flutter框架開發(fā)的跨平臺應用�。這些惡意軟件都是從同一個惡意軟件修改而來的��,因為使用了相同的配置文件格式和相同的JS腳本來竊取用戶數(shù)據(jù)����。
為使用app的功能和禁用app內(nèi)廣告�,app要求用戶用其Facebook賬戶登錄。App內(nèi)的廣告是真實存在的�,但目的是為了鼓勵安卓設備所有者來執(zhí)行要求的動作——使用Facebook賬戶登錄��。
APP啟動時的界面如下所示:
鼓勵潛在受害者使用Facebook賬戶登錄的消息:
如果用戶同意并點擊登錄按鈕�,就會看到標準的社交網(wǎng)絡登錄表單:
這些表單是無害的。木馬使用了一種特殊的機制來誘惑受害者�。惡意軟件啟動后,在從C2服務器接收到必要的設置后����,就會加載合法的Facebook web頁面https://www.facebook.com/login.php 到webview中。然后��,在同一webview中加載從C2服務器接收到的JS��。JS腳本是用來劫持用戶輸入的登錄憑證的����。之后����,JS代碼會竊取用戶輸入的登錄憑證和密碼并傳遞給木馬應用��,然后傳輸數(shù)據(jù)到攻擊者的C2服務器�。受害者在登錄賬戶后,木馬也會從當前的認證會話中竊取cookie���。這些竊取的cookie也會發(fā)送給攻擊者�。
研究人員分析發(fā)現(xiàn)攻擊者可以很容易的修改木馬的設置����,加載其他合法服務的web頁面。甚至還可以在釣魚網(wǎng)站中使用完全偽造的表單��,因此該木馬可以用來從任意服務竊取登錄憑證和密碼����。
