Μια κακόβουλη εφαρμογή Android που κλέβει τα διαπιστευτήρια του Facebook έχει εγκατασταθεί περισσότερες από 100.000 φορές μέσω του Google Play Store, με την εφαρμογή να είναι ακόμα διαθέσιμη για λήψη.
Το κακόβουλο λογισμικό Android είναι μεταμφιεσμένο σε μια εφαρμογή καρτούν που ονομάζεται «Craftsart Cartoon Photo Tools», επιτρέποντας στους χρήστες να ανεβάσουν μια εικόνα και να τη μετατρέψουν σε απόδοση κινουμένων σχεδίων.
Την περασμένη εβδομάδα, ερευνητές ασφαλείας και η εταιρεία ασφάλειας κινητών Pradeo ανακάλυψαν ότι η εφαρμογή Android περιλαμβάνει ένα trojan που ονομάζεται “FaceStealer”, το οποίο εμφανίζει μια οθόνη σύνδεσης στο Facebook που απαιτεί από τους χρήστες να συνδεθούν πριν από τη χρήση της εφαρμογής.
Σύμφωνα με τον ερευνητή ασφάλειας του Michal Rajčan, όταν οι χρήστες εισάγουν τα διαπιστευτήριά τους, η εφαρμογή θα τους στείλει σε έναν διακομιστή εντολών και ελέγχου στη διεύθυνση zutuu[.]info [VirusTotal], τον οποίο μπορούν στη συνέχεια να συλλέξουν οι εισβολείς.
Εκτός από τον διακομιστή C2, η κακόβουλη εφαρμογή Android θα συνδεθεί στη διεύθυνση www.dozenorms[.]club URL [VirusTotal] όπου αποστέλλονται περαιτέρω δεδομένα και η οποία έχει χρησιμοποιηθεί στο παρελθόν για την προώθηση άλλων κακόβουλων εφαρμογών Android FaceStealer.
Όπως εξηγεί η Pradeo στην έκθεσή της, ο συγγραφέας και ο διανομέας αυτών των εφαρμογών φαίνεται ότι έχουν αυτοματοποιήσει τη διαδικασία επανασυσκευασίας και έχουν εισάγει ένα μικρό κομμάτι κακόβουλου κώδικα σε μια κατά τα άλλα νόμιμη εφαρμογή.
Αυτό βοηθά τις εφαρμογές να περάσουν από τη διαδικασία ελέγχου του Play Store χωρίς να σηκώνουν κόκκινες σημαίες. Μόλις ο χρήστης το ανοίξει, δεν του δίνεται καμία πραγματική λειτουργία, εκτός και αν συνδεθεί στον λογαριασμό του στο Facebook.
Ωστόσο, μόλις συνδεθούν, η εφαρμογή θα παρέχει περιορισμένη λειτουργικότητα ανεβάζοντας μια καθορισμένη εικόνα στο διαδικτυακό πρόγραμμα επεξεργασίας, http://color.photofuneditor.com/, το οποίο θα εφαρμόσει ένα φίλτρο γραφικών στην εικόνα.
Στη συνέχεια, αυτή η νέα εικόνα θα εμφανιστεί στην εφαρμογή, όπου μπορεί να γίνει λήψη από τον χρήστη ή να σταλεί σε φίλους.
Καθώς πολλές εφαρμογές απαιτούν άσκοπα τους χρήστες να συνδεθούν σε έναν διακομιστή, σε πολλές περιπτώσεις το Facebook, οι χρήστες έχουν γίνει μουδιασμένοι σε αυτές τις προτροπές σύνδεσης και πιο συχνά εισάγουν τα διαπιστευτήριά τους χωρίς υποψία.
