據外媒報道,Google日前宣布,該公司旗下的9款Android應用在Play Store的下載量超過了580萬次。此前,研究人員稱這些應用通過一種卑鄙的方式竊取了用戶的Facebook登錄信息。據安全公司Dr. Web發布的一篇帖子了解到,為了贏得用戶的信任、降低他們的警惕,這些應用程序提供了功能齊全的服務–包括照片編輯和取色、鍛煉和訓練、占星及移除Android設備上的垃圾文件。
所有被識別的應用都為用戶提供了登錄Facebook賬號來禁用應用內廣告的選項。選擇該選項的用戶會看到一個真正的Facebook登錄表單,其中包含輸入用戶名和密碼的字段。
Dr. Web的研究人員寫道:
“這些木馬使用了一種特殊的機制來欺騙他們的受害者。在啟動時從一個C&C服務器接收到必要的設置后,他們將合法的Facebook網頁https://www.facebook.com/login.php加載到WebView中。接下來,他們將從C&C服務器接收到的JavaScript加載到同一個WebView中。該腳本被直接用於劫持輸入的登錄憑據。之後,該JavaScript使用JavascriptInterface註釋提供的方法將竊取的登錄名和密碼傳遞給木馬應用,木馬應用將數據傳輸給攻擊者的C&C服務器。在受害者登錄他們的賬號后,木馬還從當前的授權會話中竊取了cookies。這些cookies還被發送給了網絡罪犯。
對惡意程序的分析顯示,他們都收到了竊取Facebook賬戶登錄名和密碼的設置。然而,攻擊者可以很容易地改變木馬的設置並命令它們加載另一個合法服務的網頁。他們甚至可以使用釣魚網站上的完全偽造的登錄表單。因此,木馬可能被用來竊取任何服務的登錄名和密碼。”
研究人員發現了隱藏在這些應用中的五種惡意軟件變體。其中三個是原生Android應用,其餘兩個使用的則是Google的Flutter框架–這是為跨平台兼容性而設計的。Dr. Web指出,它將所有這些木馬歸類為同一種木馬,因為它們使用相同的配置文件格式和相同的JavaScript代碼來竊取用戶數據。
Dr. Web將這些變異確定為:
Android.PWS.Facebook.13
Android.PWS.Facebook.14
Android.PWS.Facebook.15
Android.PWS.Facebook.17
Android.PWS.Facebook.18
其中大部分下載量來自一款名為PIP Photo的應用,其下載次數超過580萬次。其次是Processing Photo,下載量超過50萬次。剩下的應用是:
Rubbish Cleaner:超10萬次下載
Inwell Fitness:超10萬次下載
Horoscope Daily:超10萬次下載
App Lock Keep:超5萬次下載
Lockit Master:超5000次下載
Horoscope Pi:1000次下載
App Lock Manager:10次下載
現在,所有這些應用都已經從Google Play中刪除。Google的一位發言人表示,該公司還禁止了所有9款應用的開發者在其應用商店中使用,這意味着他們將不允許提交新的應用。Google的做法是正確的,但這對開發者來說只是一個很小的障礙,因為他們只需一次性支付25美元就能使用不同的名字註冊一個新的開發者賬號。
任何下載過上述應用的人都應該仔細檢查自己的設備和Facebook賬號,看看是否有任何被攻破的跡象。