POLAND - 2020/10/06: In this photo illustration a Google Play logo displayed on a smartphone. (Photo Illustration by Mateusz Slodkowski/SOPA Images/LightRocket via Getty Images)
POLAND - 2020/10/06: In this photo illustration a Google Play logo displayed on a smartphone. (Photo Illustration by Mateusz Slodkowski/SOPA Images/LightRocket via Getty Images)

在研究人员说这些软件暗中盗取用户Facebook登录信息前,谷歌已经在Play Store上让这9个软件被下载了580万次。

根据来自“Dr. Web”安全事务所的一篇博文,为了让用户信任并放松警惕,这些软件提供了完整的照片编辑与相框添加,锻炼与训练,星座运势,以及在安卓设备上移除垃圾文件的功能。这所有的软件都提供了登录Facebook账号来关闭所有应用内广告的选项。选择了这个选项的用户将看到真实的Facebook登录界面,有着输入用户名和密码的地方。

然后,Dr. Web的研究人员写道:

这些木马用了一种特殊的机制来骗受害者。在它们启动后并从它们的命令与控制服务器上获得相关设置后,它们使用WebView载入正常的Facebook登陆界面,接下来,它们把从命令与控制服务器上获得的JavaScript代码插入同一个WebView页面中。这个脚本就是直接用来劫持用户输入的登录信息的。在此以后,这个JavaScript通过由Javascriptinterface注释将偷取到的用户名和密码传送给木马程序,它会将这些信息传回至攻击者的命令与控制服务器。当受害者登录后,木马程序还会偷得用户当前认证会话的cookies。这些cookies也会被送到网络犯罪者那里。

对这些病毒软件的分析指出,它们获得的设置都是偷取Facebook的账号和密码。但是,攻击者可以轻易更改木马的设置并让它们载入其他服务的登陆页面。他们也可以用一个位于诈骗网站上的假登录页面。因此,这种木马可以用于盗取任何服务的用户名和密码。

研究人员发现了5种藏在app中的病毒变种。其中的三个是普通安卓app,剩下两个使用谷歌的用于提升跨平台兼容性的的Flutter框架。Dr.Web说他们将所有病毒归为一类木马,因为它们使用标志性的配置文件和JavaScript代码来盗取用户数据。

Dr.Web把那些变种归为:

Android.PWS.Facebook.13

Android.PWS.Facebook.14

Android.PWS.Facebook.15

Android.PWS.Facebook.17

Android.PWS.Facebook.18

主要的下载都来自一个叫PIP Photo的app,它被下载了580多万次,第二多下载来自Processing Photo,有五十多万次下载。其余几款app分别是:

Rubbish Cleaner:十万多次下载

Inwell Fitness:十万多次下载

Horoscope Daily:十万多次下载

App Lock Keep:五万多次下载

Lockit Master:五千多次下载

Horoscope Pi:一千次下载

App Lock Manager:十次下载

在Google Play中搜索,这些软件已经全部从Play商店里下架。一个谷歌发言人说公司已经禁止了那九款软件的开发者,这意味着他们将无法在Google Play上提交新软件。这是谷歌应做的正确事情。但对开发者来说影响很小,他们只需用不同的名字重新注册开发者账号,并花25美元的一次性费用。

下载了以上软件之一的人应该仔细检查他们的设备和Facebook账户是否有任何异常。从受信任的安全公司下载安全软件来进行扫描也不是一个坏主意。

原文链接:Apps with 5.8 million Google Play downloads stole users’ Facebook passwords | Ars Technica

Last modified: July 3, 2021

Author

Comments

Leave a Reply