在研究人員發(fā)現(xiàn) 9 款 Android 應(yīng)用程序竊取用戶的 Facebook 登錄憑證之后，Google 已經(jīng)將這些應(yīng)用從 Play Store 下架，此前這些應(yīng)用的總下載量已超過 660 萬次。

[[409311]]

安全公司 Dr.Web 近日發(fā)表的一份報告，在報告中 Dr.Web 表示為了贏得用戶的信任并降低他們的警惕性，這些應(yīng)用程序提供了功能齊全的照片編輯、運(yùn)動和訓(xùn)練、天文和清理設(shè)備上的垃圾文件等服務(wù)。但所有被確認(rèn)的應(yīng)用程序都為用戶提供了一個選項，即通過登錄 Facebook 賬戶來禁用應(yīng)用內(nèi)廣告。選擇該選項的用戶能夠看到一個真正的 Facebook 登錄頁，其中包含用戶名和密碼的輸入框。

這些惡意軟件使用了一種特殊的機(jī)制來欺騙用戶。在啟動時從其中一個 C&C 服務(wù)器收到必要的設(shè)置后，它們將合法的 Facebook 網(wǎng)頁載入 WebView。接下來，他們將從 C&C 服務(wù)器收到的 JavaScript 加載到同一個 WebView 中。這個腳本被直接用來劫持輸入的登錄憑證。

之后，這個 JavaScript 使用通過 JavascriptInterface 注解提供的方法，將竊取的登錄和密碼傳遞給惡意程序，惡意程序再將數(shù)據(jù)傳輸給攻擊者的 C&C 服務(wù)器。在受害者登錄他們的賬戶后，惡意程序還會從當(dāng)前的授權(quán)會話中竊取 cookies。這些 cookies 同樣也會被發(fā)送給攻擊者。

對惡意程序的分析表明，攻擊者可以很容易地改變惡意軟件的設(shè)置，讓軟件加載其他的合法服務(wù)的網(wǎng)頁。因此，這些惡意軟件可能被用來從任何服務(wù)中竊取賬戶和密碼。

研究人員確定了藏在應(yīng)用程序中的五個惡意軟件變體，其中三個是原生 Android 應(yīng)用程序，其余兩個使用了 Google 的 Flutter 框架，該框架旨在實現(xiàn)跨平臺兼容。所有這些變體都?xì)w類為同一個木馬，因為它們使用相同的配置文件格式和相同的 JavaScript 代碼來竊取用戶數(shù)據(jù)。

這些惡意軟件變體包括：

• Android.PWS.Facebook.13
• Android.PWS.Facebook.14
• Android.PWS.Facebook.15
• Android.PWS.Facebook.17
• Android.PWS.Facebook.18

大部分的下載是針對一個名為 PIP Photo 的應(yīng)用，該應(yīng)用的下載量超過 580 萬次。排名第二高的應(yīng)用程序是 Processing Photo，下載量超過 50 萬次。其余的應(yīng)用是：

• Rubbish Cleaner: 超過 100,000 次下載;
• Inwell Fitness: 超過 100,000 次下載;
• Horoscope Daily: 超過 100,000 次下載;
• App Lock Keep: 超過 50,000 次下載;
• Lockit Master: 超過 5,000 次下載;
• Horoscope Pi: 超過 1,000 次下載;
• App Lock Manager: 10 次下載;

在 Google Play 搜索顯示，所有的應(yīng)用程序都已從 Play Store 中刪除。Google 發(fā)言人表示，Google 不光下架了這些應(yīng)用，還禁用了所有應(yīng)用程序的開發(fā)者賬戶。任何下載了上述應(yīng)用程序的用戶都查看一下他們的 Facebook 賬戶，盡快修改密碼并開啟賬號的二次驗證。

本站新聞禁止未經(jīng)授權(quán)轉(zhuǎn)載，違者依法追究相關(guān)法律責(zé)任。授權(quán)請聯(lián)系：oscbianji#oschina.cn

本文標(biāo)題：下載量超 580 萬次的 Android 應(yīng)用竟是惡意軟件，Google 已禁用開發(fā)者賬戶

本文地址：https://www.oschina.net/news/148961/9-android-apps-might-steal-facebook-password