Aplicativos com 5,8 milhões de downloads do Google Play roubaram as senhas dos usuários do Facebook

Aplicativos com 5,8 milhões de downloads do Google Play roubaram as senhas dos usuários do Facebook

Mateusz Slodkowski / SOPA Images / LightRocket via Getty Images

O Google deu o boot em nove aplicativos Android baixados mais de 5,8 milhões de vezes do mercado Play da empresa, depois que pesquisadores disseram que esses aplicativos usavam uma maneira sorrateira de roubar as credenciais de login dos usuários no Facebook.

Em uma tentativa de ganhar a confiança dos usuários e baixar a guarda, os aplicativos forneciam serviços totalmente funcionais para edição e enquadramento de fotos, exercícios e treinamento, horóscopos e remoção de arquivos inúteis de dispositivos Android, de acordo com um post publicado pela empresa de segurança Dr. Rede. Todos os aplicativos identificados ofereceram aos usuários uma opção para desativar os anúncios no aplicativo fazendo login em suas contas do Facebook. Os usuários que escolheram a opção viram um formulário de login genuíno do Facebook contendo campos para inserir nomes de usuário e senhas.

Então, como escreveram os pesquisadores da Web:

Esses trojans usaram um mecanismo especial para enganar suas vítimas. Depois de receber as configurações necessárias de um dos servidores C&C na inicialização, eles carregaram a página da web legítima do Facebook https://www.facebook.com/login.php no WebView. Em seguida, eles carregaram o JavaScript recebido do servidor C&C no mesmo WebView. Este script foi usado diretamente para sequestrar as credenciais de login inseridas. Depois disso, esse JavaScript, usando os métodos fornecidos por meio da anotação JavascriptInterface, passou o login e a senha roubados para os aplicativos trojan, que então transferiram os dados para o servidor C&C do invasor. Depois que a vítima se conecta a sua conta, os trojans também roubam cookies da sessão de autorização atual. Esses cookies também foram enviados para cibercriminosos.

A análise dos programas maliciosos mostrou que todos eles receberam configurações para roubar logins e senhas de contas do Facebook. No entanto, os invasores podem ter facilmente alterado as configurações dos cavalos de Tróia e ordenado que carreguem a página da web de outro serviço legítimo. Eles poderiam até mesmo ter usado um formulário de login completamente falso localizado em um site de phishing. Assim, os trojans podem ter sido usados ​​para roubar logins e senhas de qualquer serviço.

Dr. Web

Os pesquisadores identificaram cinco variantes de malware escondidas dentro dos aplicativos. Três deles eram aplicativos Android nativos e os dois restantes usavam a estrutura Flutter do Google, projetada para compatibilidade entre plataformas. Dr. Web disse que classifica todos eles como o mesmo trojan porque eles usam formatos de arquivo de configuração idênticos e código JavaScript idêntico para roubar dados do usuário.

Dr. Web identificou as variantes como:

A maioria dos downloads foi para um aplicativo chamado PIP Photo, que foi acessado mais de 5,8 milhões de vezes. O próximo aplicativo com maior alcance foi o Processing Photo, com mais de 500.000 downloads. Os aplicativos restantes foram:

Uma pesquisa no Google Play mostra que todos os aplicativos foram removidos do Play. Um porta-voz do Google disse que a empresa também baniu os desenvolvedores de todos os nove aplicativos da loja, o que significa que eles não terão permissão para enviar novos aplicativos. Essa é a coisa certa para o Google fazer, mas mesmo assim representa apenas um obstáculo mínimo para os desenvolvedores, porque eles podem simplesmente se inscrever para uma nova conta de desenvolvedor com um nome diferente por uma taxa única de US $ 25.

Qualquer pessoa que baixou um dos aplicativos acima deve examinar minuciosamente seu dispositivo e suas contas do Facebook em busca de quaisquer sinais de comprometimento. Baixar um aplicativo antivírus Android gratuito de uma empresa de segurança conhecida e verificar se há outros aplicativos maliciosos também não é uma má ideia. A oferta da Malwarebytes é a minha favorita.

Source link