下载量超过580万次的Android应用程序可以窃取用户的Facebook密码。DoctorWeb研究人员在GooglePlay应用商店中发现了多个恶意应用,它们可以窃取Facebook用户的登录凭证和密码。这些窃取器作为非恶意软件分发,恶意软件的下载次数超过585.6万次。研究人员一共发现了10个木马应用程序,其中有9个可以在GooglePlay应用程序商店下载:其中一款名为ProcessingPhoto的照片处理软件由开发商chikumburahamilton分发,下载量已超过50万次;访问Android设备上的其他软件应用程序:如APPLOCKKEEP,已被下载超过50,000次;RubbishCleaner由开发商SNT.rbcl开发,一款优化Android设备性能的小工具。它已被下载超过100,000次。占卜程序HoroscopeDaily和HoroscopePi的下载量分别超过10万次和1000次。InwellFitness是一款由开发者ReubenGermaine开发的健身应用,下载量超过10万次。图像编辑应用PIPPhoto,下载量超过500万。研究人员向谷歌报告了结果,部分应用程序已从GooglePlay商店中删除。但截至撰写本文时,某些应用程序仍可供下载。在分析窃取者木马时,研究人员发现了一种以前通过GooglePlay商店分发的图像编辑软件——EditorPhotoPip。该应用已从官方应用商店下架,但仍可在一些第三方软件下载网站上下载。研究人员将Android.PWS.Facebook.13、Android.PWS.Facebook.14和Android.PWS.Facebook.15检测为原生Android应用程序,并将Android.PWS.Facebook.17和Android.PWS.Facebook.18作为A使用Flutter框架开发的跨平台应用程序。这些恶意软件都是由同一个恶意软件修改而来,因为使用相同的配置文件格式和相同的JS脚本来窃取用户数据。为了使用该应用的功能并禁用应用内广告,该应用要求用户使用他们的Facebook帐户登录。应用内广告是真实的,但目的是鼓励Android设备所有者执行请求的操作——使用他们的Facebook帐户登录。应用程序启动时的界面如下所示:鼓励潜在受害者使用其Facebook帐户登录的消息:如果用户同意并点击登录按钮,他们将看到标准的社交网络登录表单:这些表单是无害的。特洛伊木马使用一种特殊的机制来引诱受害者。启动恶意软件后,它会在从C2服务器接收到必要的设置后,将合法的Facebook网页https://www.facebook.com/login.php加载到webview中。然后,在同一个webview中加载从C2服务器接收到的JS。JS脚本用于劫持用户输入的登录凭证。之后,JS代码会窃取用户输入的登录凭证和密码,并将其传递给木马应用程序,再将数据传输给攻击者的C2服务器。受害者登录账户后,木马还会从当前身份验证会话中窃取cookie。这些被盗的cookie也被发送给攻击者。研究人员分析发现,攻击者可以轻易修改木马的设置,加载其他合法服务的网页。甚至可以在网络钓鱼站点中使用完全伪造的表单,因此该木马可用于窃取任意服务的登录凭据和密码。本文翻译自:https://news.drweb.com/show/?i=14244&lng=en
