一款用於竊取 Facebook 登錄憑證的惡意 Android 應用目前在 Google Play 商城上已經被安裝超過 10 萬次,而且該應用目前仍可下載(發稿時已下架)。這款惡意程序被偽裝成“Craftsart Cartoon Photo Tools”卡通化應用,允許用戶上傳圖片並將其轉換為卡通渲染。
過去 1 周,安全研究人員和移動安全公司 Pradeo 發現,該 Android 應用包括一個名為“FaceStealer”的木馬,它顯示一個 Facebook 登錄屏幕,要求用戶在使用該應用前登錄。
據 Jamf 安全研究員 Michal Rajčan 稱,當用戶輸入他們的憑證時,該應用程序將把它們發送到 zutuu[.]info [VirusTotal]的命令和控制服務器,然後攻擊者可以收集這些信息。
除了 C2 服務器,惡意的 Android 應用程序將連接到 www.dozenorms[.]club URL [VirusTotal],在那裡發送進一步的數據,而且過去曾被用來推廣其他惡意的 FaceStealer Android 應用程序。
正如Pradeo在其報告中所解釋的那樣,這些應用程序的作者和分銷商似乎已經將重新包裝的過程自動化,並將一小段惡意代碼注入到一個其他合法的應用程序中。然而,一旦他們登錄,該應用程序將提供有限的功能,將指定的圖片上傳到在線編輯器http://color.photofuneditor.com/,該編輯器將對圖片應用圖形濾鏡。
由於特定的應用程序仍在Play Store上,人們可能會自動認為該Android應用程序是值得信賴的。但不幸的是,惡意的Android應用有時會潛入Google應用商店,並一直保留到從差評中發現或被安全公司發現。
