下載量超 580 萬次的 Android 應用竟是惡意軟件,Google 已禁用開發(fā)
在研究人員發(fā)現(xiàn) 9 款 Android 應用程序竊取用戶的 Facebook 登錄憑證之后,Google 已經將這些應用從 Play Store 下架,此前這些應用的總下載量已超過 660 萬次。
安全公司 Dr.Web 近日發(fā)表的一份報告,在報告中 Dr.Web 表示為了贏得用戶的信任并降低他們的警惕性,這些應用程序提供了功能齊全的照片編輯、運動和訓練、天文和清理設備上的垃圾文件等服務。但所有被確認的應用程序都為用戶提供了一個選項,即通過登錄 Facebook 賬戶來禁用應用內廣告。選擇該選項的用戶能夠看到一個真正的 Facebook 登錄頁,其中包含用戶名和密碼的輸入框。
這些惡意軟件使用了一種特殊的機制來欺騙用戶。在啟動時從其中一個 C&C 服務器收到必要的設置后,它們將合法的 Facebook 網頁載入 WebView。接下來,他們將從 C&C 服務器收到的 JavaScript 加載到同一個 WebView 中。這個腳本被直接用來劫持輸入的登錄憑證。
之后,這個 JavaScript 使用通過 JavascriptInterface 注解提供的方法,將竊取的登錄和密碼傳遞給惡意程序,惡意程序再將數(shù)據(jù)傳輸給攻擊者的 C&C 服務器。在受害者登錄他們的賬戶后,惡意程序還會從當前的授權會話中竊取 cookies。這些 cookies 同樣也會被發(fā)送給攻擊者。
對惡意程序的分析表明,攻擊者可以很容易地改變惡意軟件的設置,讓軟件加載其他的合法服務的網頁。因此,這些惡意軟件可能被用來從任何服務中竊取賬戶和密碼。
研究人員確定了藏在應用程序中的五個惡意軟件變體,其中三個是原生 Android 應用程序,其余兩個使用了 Google 的 Flutter 框架,該框架旨在實現(xiàn)跨平臺兼容。所有這些變體都歸類為同一個木馬,因為它們使用相同的配置文件格式和相同的 JavaScript 代碼來竊取用戶數(shù)據(jù)。
這些惡意軟件變體包括:
- Android.PWS.Facebook.13
- Android.PWS.Facebook.14
- Android.PWS.Facebook.15
- Android.PWS.Facebook.17
- Android.PWS.Facebook.18
大部分的下載是針對一個名為 PIP Photo 的應用,該應用的下載量超過 580 萬次。排名第二高的應用程序是 Processing Photo,下載量超過 50 萬次。其余的應用是:
- Rubbish Cleaner: 超過 100,000 次下載;
- Inwell Fitness: 超過 100,000 次下載;
- Horoscope Daily: 超過 100,000 次下載;
- App Lock Keep: 超過 50,000 次下載;
- Lockit Master: 超過 5,000 次下載;
- Horoscope Pi: 超過 1,000 次下載;
- App Lock Manager: 10 次下載;
在 Google Play 搜索顯示,所有的應用程序都已從 Play Store 中刪除。Google 發(fā)言人表示,Google 不光下架了這些應用,還禁用了所有應用程序的開發(fā)者賬戶。任何下載了上述應用程序的用戶都查看一下他們的 Facebook 賬戶,盡快修改密碼并開啟賬號的二次驗證。
本站新聞禁止未經授權轉載,違者依法追究相關法律責任。授權請聯(lián)系:oscbianji#oschina.cn
本文標題:下載量超 580 萬次的 Android 應用竟是惡意軟件,Google 已禁用開發(fā)者賬戶
本文地址:https://www.oschina.net/news/148961/9-android-apps-might-steal-facebook-password
