Mateusz Slodkowski / SOPA Images / LightRocket a través de Getty Images
Google ha dado el arranque a nueve aplicaciones de Android que se han descargado más de 5,8 millones de veces desde la compañía mercado de juego Después de que los investigadores dijeron que estas aplicaciones utilizan un método engañoso para robar las credenciales de inicio de sesión de Facebook.
En un esfuerzo por ganar la confianza de los usuarios y reducir su precaución, las aplicaciones han ofrecido servicios de edición y encuadre de fotos completamente funcionales, entrenamiento y entrenamiento, horóscopos y eliminación de archivos basura de dispositivos Android, según Correo Publicado por la empresa de seguridad d. web. Todas las aplicaciones seleccionadas proporcionaron a los usuarios una opción para deshabilitar los anuncios en la aplicación iniciando sesión en su cuenta de Facebook. Los usuarios que eligieron esta opción vieron un formulario de inicio de sesión de Facebook original con campos para ingresar nombres de usuario y contraseñas.
Luego, los investigadores le escribieron al Dr. Web:
Los troyanos utilizaron un mecanismo especial para engañar a sus víctimas. Después de recibir la configuración necesaria de uno de los servidores de comando y control durante la ejecución, cargaron la página web legítima de Facebook https://www.facebook.com/login.php en WebView. Luego, cargan el JavaScript recibido del servidor de comando y control en el mismo WebView. Este script se usó directamente para secuestrar las credenciales de inicio de sesión ingresadas. Luego, este JavaScript, utilizando métodos proporcionados a través de la anotación JavascriptInterface, pasa el nombre de usuario y la contraseña robados a las aplicaciones troyanas, que luego pasan los datos al servidor de control y comando de los atacantes. Una vez que la víctima inicia sesión en su cuenta, los troyanos también roban cookies de la sesión de autorización actual. Estas cookies también se envían a los ciberdelincuentes.
El análisis del malware mostró que todos recibieron configuraciones para robar inicios de sesión y contraseñas de cuentas de Facebook. Sin embargo, los atacantes podrían haber cambiado fácilmente la configuración de los troyanos y les indicaron que cargaran la página web de otro servicio legítimo. Podrían haber utilizado un formulario de inicio de sesión completamente falso que se encuentra en un sitio de phishing. Así, era posible utilizar troyanos para robar inicios de sesión y contraseñas de cualquier servicio.
Dr. La web
Los investigadores han identificado cinco tipos diferentes de malware ocultos dentro de las aplicaciones. Tres de ellas eran aplicaciones nativas de Android, mientras que las dos restantes usaban aplicaciones de Google. marco de aleteoDiseñado para compatibilidad multiplataforma. El Dr. Webb dijo que los clasifica a todos como el mismo troyano porque usan formatos de archivo de configuración idénticos y código JavaScript idéntico para robar datos de usuario.
El Dr. Webb definió variantes como:
La mayoría de las descargas fueron para una aplicación llamada Imagen PIP.al que se ha accedido más de 5,8 millones de veces. La aplicación que logró el siguiente mayor éxito fue Procesamiento de imágenes, con más de 500.000 descargas. Las aplicaciones restantes fueron:
Una búsqueda en Google Play muestra que todas las aplicaciones se han eliminado de Play. Un portavoz de Google dijo que la compañía también ha prohibido a los desarrolladores de las nueve aplicaciones de la Tienda, lo que significa que no se les permitirá enviar nuevas aplicaciones. Esto es lo que debe hacer Google, pero, sin embargo, presenta solo barreras mínimas para los desarrolladores porque simplemente pueden registrarse para obtener una nueva cuenta de desarrollador con un nombre diferente por una tarifa única de $ 25.
Cualquiera que haya descargado una de las aplicaciones mencionadas anteriormente debe escanear a fondo sus dispositivos y sus cuentas de Facebook en busca de signos de piratería. Descargar una aplicación antivirus gratuita para Android de una empresa de seguridad conocida y escanear en busca de aplicaciones maliciosas adicionales tampoco es una mala idea. La Vista desde Malwarebytes Es mi favorito.
«Fan web incurable. Entusiasta de la comida típica. Experto en twitter galardonado. Tvaholic».
