安全動態(tài)

下載量超過580萬的安卓應用可竊取Facebook密碼

來源:聚銘網(wǎng)絡    發(fā)布時間:2021-07-07    瀏覽次數(shù):
 

信息來源:51CTO


下載量超過580萬的安卓應用可竊取用戶Facebook密碼。

Doctor Web研究人員在谷歌play應用商店中發(fā)現(xiàn)了多個惡意應用,可以竊取Facebook用戶的登錄憑證和密碼。這些竊取器木木以非惡意軟件的形式傳播,惡意軟件下載量超過585.6萬次。

研究人員共發(fā)現(xiàn)了10個木馬應用,其中9個可以在谷歌play應用商店中下載:

  • 其中一個照片處理的軟件名為Processing Photo,是由開發(fā)者chikumburahamilton傳播的,下載量超過50萬次;
  • 訪問安卓設備上其他軟件的應用:比如APP LOCK KEEP,下載量超過5萬次;
  • 開發(fā)者SNT.rbcl 開發(fā)的Rubbish Cleaner,一個優(yōu)化安卓設備性能的小工具。下載量超過10萬次。
  • 占卜程序Horoscope Daily和Horoscope Pi,下載量分別超過10萬次和1000次。
  • 開發(fā)者Reuben Germaine開發(fā)的健身應用Inwell Fitness,下載量超過10萬次。
  • 圖像編輯應用PIP Photo,下載量超過500萬次。

研究人員將相關結果報告給了谷歌,隨后部分也應用已經(jīng)從谷歌應用商店被移除。但是截至本文發(fā)布,仍然有部分應用可以下載。

研究人員在分析竊取器木馬時發(fā)現(xiàn)一個之前通過谷歌應用商店傳播的圖像編輯軟件——EditorPhotoPip。該應用已經(jīng)從官方應用商店刪除了,但是在一些第三方的軟件下載網(wǎng)站上仍然可以下載。研究人員檢測到的Android.PWS.Facebook.13、Android.PWS.Facebook.14和Android.PWS.Facebook.15 是原生安卓應用程序,Android.PWS.Facebook.17和Android.PWS.Facebook.18是使用Flutter框架開發(fā)的跨平臺應用。這些惡意軟件都是從同一個惡意軟件修改而來的,因為使用了相同的配置文件格式和相同的JS腳本來竊取用戶數(shù)據(jù)。

為使用app的功能和禁用app內(nèi)廣告,app要求用戶用其Facebook賬戶登錄。App內(nèi)的廣告是真實存在的,但目的是為了鼓勵安卓設備所有者來執(zhí)行要求的動作——使用Facebook賬戶登錄。

APP啟動時的界面如下所示:

鼓勵潛在受害者使用Facebook賬戶登錄的消息:

如果用戶同意并點擊登錄按鈕,就會看到標準的社交網(wǎng)絡登錄表單:

這些表單是無害的。木馬使用了一種特殊的機制來誘惑受害者。惡意軟件啟動后,在從C2服務器接收到必要的設置后,就會加載合法的Facebook web頁面https://www.facebook.com/login.php 到webview中。然后,在同一webview中加載從C2服務器接收到的JS。JS腳本是用來劫持用戶輸入的登錄憑證的。之后,JS代碼會竊取用戶輸入的登錄憑證和密碼并傳遞給木馬應用,然后傳輸數(shù)據(jù)到攻擊者的C2服務器。受害者在登錄賬戶后,木馬也會從當前的認證會話中竊取cookie。這些竊取的cookie也會發(fā)送給攻擊者。

研究人員分析發(fā)現(xiàn)攻擊者可以很容易的修改木馬的設置,加載其他合法服務的web頁面。甚至還可以在釣魚網(wǎng)站中使用完全偽造的表單,因此該木馬可以用來從任意服務竊取登錄憑證和密碼。


 
 

上一篇:中辦、國辦:加強中概股監(jiān)管 完善數(shù)據(jù)安全相關法律法規(guī)

下一篇:2021年7月7日聚銘安全速遞