谷歌应用商店580万次安装的安卓应用窃取用户Facebook密码

谷歌应用商店580万次安装的安卓应用窃取用户Facebook密码

Doctor Web 的恶意软件分析师在 Google Play 上发现了窃取 Facebook 用户登录名和密码的恶意应用程序。这些窃取木马作为无害软件进行传播,安装次数超过 5,856,010 次。

恶意应用程序列表

  • PIP Photo (>5,000,000次安装)
  • Processing Photo (>500,000 次安装)
  • Rubbish Cleaner (>100,000 次安装)
  • Horoscope Daily (>100,000 次安装)
  • Inwell Fitness (>100,000 次安装)
  • App Lock Keep (50,000 次安装)
  • Lockit Master (5,000 次安装)
  • Horoscope Pi (>1,000 次安装)
  • App Lock Manager (10 次安装)

我们的专家总共发现了 10 个此类木马应用程序。其中 9 个在 Google Play 上可用:

  1. 一款名为 Processing Photo 的照片编辑软件。它被 Dr.Web Anti-Virus 检测为Android.PWS.Facebook.13并由开发者 chikumburahamilton 传播。它被安装了超过 500,000 次。
  2. 启用访问限制以使用安装在 Android 设备上的其他软件的应用程序:来自开发人员 Sheralaw Rence 的 App Lock Keep、来自开发人员 Implummet col 的 App Lock Manager 和来自开发人员 Enali mchicolo 的 Lockit Master——都被检测为Android.PWS.Facebook。 13 . 它们分别被下载了至少 50,000、10 和 5,000 次。
  3. 来自开发商 SNT.rbcl 的垃圾清理器——一种优化 Android 设备性能的实用程序。它被下载了超过 100,000 次。Dr.Web 将其检测为Android.PWS.Facebook.13
  4. 来自开发者 HscopeDaily momo 的占星术程序 Horoscope Daily 和来自开发者 Talleyr Shauna 的 Horoscope Pi,也被检测为Android.PWS.Facebook.13。前者的安装量超过 100,000,而后者的安装量超过 1,000。
  5. 一个名为 Inwell Fitness 的健身程序,被开发者 Reuben Germaine 检测为 Android.PWS.Facebook.14。它有超过 100,000 次安装。
  6. 由开发者 Lillians 传播的名为 PIP Photo 的图像编辑应用程序。它的各种版本被检测为Android.PWS.Facebook.17Android.PWS.Facebook.18。这个应用程序有超过 5,000,000 次下载。

Doctor Web 的专家向 Google 报告后,部分恶意应用程序已从 Google Play 中删除。但是,在本新闻发布时,仍有一些应用程序可供下载。

在分析这些窃取信息的木马的过程中,我们发现了一个早期的修改,该修改以名为 EditorPhotoPip 的图像编辑软件为幌子通过 Google Play 传播,该软件已从 Android 官方应用商店中删除,但仍可在软件聚合网站上使用. 此修改以Android.PWS.Facebook.15 的形式添加到 Dr.Web 病毒库中。

虽然Android.PWS.Facebook.13Android.PWS.Facebook.14Android.PWS.Facebook.15是原生 Android 应用程序,但Android.PWS.Facebook.17Android.PWS.Facebook.18正在使用Flutter 框架专为跨平台开发而设计。尽管如此,它们都可以被视为对同一木马的修改,因为它们使用相同的配置文件格式和相同的 JavaScript 脚本来窃取用户数据。

谷歌应用商店580万次安装的安卓应用窃取用户Facebook密码

这些应用程序功能齐全,应该会削弱潜在受害者的警惕性。有了这个,为了访问所有应用程序的功能,并据称禁用应用程序内广告,系统会提示用户登录他们的 Facebook 帐户。某些应用程序中的广告确实存在,这种做法旨在进一步鼓励 Android 设备所有者执行所需的操作。

谷歌应用商店580万次安装的安卓应用窃取用户Facebook密码

以下是其中一些应用发布时的样子:

谷歌应用商店580万次安装的安卓应用窃取用户Facebook密码
谷歌应用商店580万次安装的安卓应用窃取用户Facebook密码

这是鼓励潜在受害者登录他们的 Facebook 帐户的信息:

谷歌应用商店580万次安装的安卓应用窃取用户Facebook密码

如果用户同意并单击登录按钮,他们会看到标准的社交网络登录表单,如下面的屏幕截图所示:

谷歌应用商店580万次安装的安卓应用窃取用户Facebook密码

这样,显示的形式是真实的。

这些木马使用一种特殊的机制来欺骗他们的受害者。在启动时从其中一台 C&C 服务器收到必要的设置后,他们将合法的 Facebook 网页 https://www.facebook.com/login.php 加载到 WebView 中。接下来,他们将从 C&C 服务器接收到的 JavaScript 加载到同一个 WebView 中。该脚本直接用于劫持输入的登录凭据。之后,这个 JavaScript 使用通过 JavascriptInterface 注释提供的方法,将窃取的登录名和密码传递给木马应用程序,然后将数据传输到攻击者的 C&C 服务器。受害者登录其帐户后,木马还会从当前授权会话中窃取 cookie。这些 cookie 也被发送给网络犯罪分子。

对恶意程序的分析表明,它们都收到了窃取 Facebook 帐户登录名和密码的设置。然而,攻击者可以轻松地更改木马程序的设置并命令它们加载另一个合法服务的网页。他们甚至可以使用位于网络钓鱼站点上的完全伪造的登录表单。因此,特洛伊木马程序可用于从任何服务窃取登录名和密码。

所述Android.PWS.Facebook.15这被证明是木马的较早的修改恶意程序,是相同的人。但是,它包含将数据输出到中文日志中的附加功能,这可能表明其可能的来源。

Android.PWS.Facebook.15木马的外观及其输出到日志文件的示例如下所示:

谷歌应用商店580万次安装的安卓应用窃取用户Facebook密码
谷歌应用商店580万次安装的安卓应用窃取用户Facebook密码

Doctor Web 建议 Android 设备所有者仅安装来自已知和受信任的开发人员的应用程序,并注意其他用户评论。评论不能绝对保证应用程序是无害的,但仍然可以就潜在威胁向您发出警报。您还应该注意何时以及哪些应用程序要求您登录您的帐户。如果您不确定自己所做的是否安全,最好不要继续操作并卸载可疑程序。

Android 版 Dr.Web Anti-Virus 产品成功检测并删除Android.PWS.Facebook.13Android.PWS.Facebook.14Android.PWS.Facebook.15Android.PWS.Facebook.17 的所有已知修改,和Android.PWS.Facebook.18木马应用程序,因此它们不会对我们的用户构成威胁。

侵害指标

恶意程序样品

检测名称SHA-1应用名称安装包名称安装包版本开发商
Android.PWS.Facebook.13d8f941f6a8dbda39a881ad2a1661e3227e3f8f18App Lock Keepcom.enab.lockkeep1.0.6Sheralaw Rence
Android.PWS.Facebook.138f30f3f176613dbc14aa29bfb3c952b6eb046da3Processing Photocom.pcnts.splicingpp1.2chikumburahamilton
Android.PWS.Facebook.13de2ac7091b7c51d0b7e1e9c31d5e8d9aa863aa5cRubbish Cleanercom.snt.rubbishcleaner1.5.1SNT.rbcl
Android.PWS.Facebook.13b2d07ac10bba9839fd8a0ccd7a7dcd08b508140bHoroscope Dailycom.cgi.ygk.iozwrku.izgzw1.0HscopeDaily momo
Android.PWS.Facebook.13de93c1c7a0c03ecf79179d2296008f93f48fdcaaHoroscope Picom.iigxuq.xueqe.horoscopepi2.4.56Talleyr Shauna
Android.PWS.Facebook.13d68717837c3b3ec7fd95a6b776ec96bef7344928App Lock Managercom.oimjqcnw.mngyz.kqhcrpy.xdrzs007.xyzImplummet col
Android.PWS.Facebook.135a3d2917fe987dea35d1aa4b089743d168a71415Lockit Mastercom.svbo.oypvn.otpl1.3Enali mchicolo
Android.PWS.Facebook.14903fcfba98f32b00badcec5976a4b401b994be7eInwell Fitnesschv.jrd.axiyby.ojs.xevjo1.1Reuben Germaine
Android.PWS.Facebook.15f7d6462d16e8c0c81634e8812ae1b19a59bede26EditorPhotoPipcom.viewedites.showimg1.1Laurense
Android.PWS.Facebook.172b931978aaee9e2a9d35b1f8bf35a9b89b74d2faPIP Photocom.piphoto.pipsapp1.1.0Lillians
Android.PWS.Facebook.188b0451ee56e8a5805b1c501d48066d2cb89e41a5PIP Photocom.piphoto.pipsapp1.0.0Lillians

网络指标

恶意域名

data.applockkeep.xyz 
shop.vfgrl.com 
wap.inwellfitness.xyz 
cc.horoscopemagic.xyz 
mxi.applockmaster.xyz 
mm.superbrightflashlight.xyz 
wap.lockitmaster.xyz 
data.horoscopedaily.xyz

ip地址

108.160.132.15 
45.32.110.28

有关Android.PWS.Facebook.13 的更多详细信息

有关Android.PWS.Facebook.14 的更多详细信息

有关Android.PWS.Facebook.15 的更多详细信息

有关Android.PWS.Facebook.17 的更多详细信息

有关Android.PWS.Facebook.18 的更多详细信息

from

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注