下載量超過580萬的安卓應(yīng)用可竊取用戶Facebook密碼。

Doctor Web研究人員在谷歌play應(yīng)用商店中發(fā)現(xiàn)了多個(gè)惡意應(yīng)用，可以竊取Facebook用戶的登錄憑證和密碼。這些竊取器木木以非惡意軟件的形式傳播，惡意軟件下載量超過585.6萬次。

研究人員共發(fā)現(xiàn)了10個(gè)木馬應(yīng)用，其中9個(gè)可以在谷歌play應(yīng)用商店中下載：

• 其中一個(gè)照片處理的軟件名為Processing Photo，是由開發(fā)者chikumburahamilton傳播的，下載量超過50萬次;
• 訪問安卓設(shè)備上其他軟件的應(yīng)用：比如APP LOCK KEEP，下載量超過5萬次;
• 開發(fā)者SNT.rbcl 開發(fā)的Rubbish Cleaner，一個(gè)優(yōu)化安卓設(shè)備性能的小工具。下載量超過10萬次。
• 占卜程序Horoscope Daily和Horoscope Pi，下載量分別超過10萬次和1000次。
• 開發(fā)者Reuben Germaine開發(fā)的健身應(yīng)用Inwell Fitness，下載量超過10萬次。
• 圖像編輯應(yīng)用PIP Photo，下載量超過500萬次。

研究人員將相關(guān)結(jié)果報(bào)告給了谷歌，隨后部分也應(yīng)用已經(jīng)從谷歌應(yīng)用商店被移除。但是截至本文發(fā)布，仍然有部分應(yīng)用可以下載。

研究人員在分析竊取器木馬時(shí)發(fā)現(xiàn)一個(gè)之前通過谷歌應(yīng)用商店傳播的圖像編輯軟件——EditorPhotoPip。該應(yīng)用已經(jīng)從官方應(yīng)用商店刪除了，但是在一些第三方的軟件下載網(wǎng)站上仍然可以下載。研究人員檢測(cè)到的Android.PWS.Facebook.13、Android.PWS.Facebook.14和Android.PWS.Facebook.15 是原生安卓應(yīng)用程序，Android.PWS.Facebook.17和Android.PWS.Facebook.18是使用Flutter框架開發(fā)的跨平臺(tái)應(yīng)用。這些惡意軟件都是從同一個(gè)惡意軟件修改而來的，因?yàn)槭褂昧讼嗤呐渲梦募袷胶拖嗤腏S腳本來竊取用戶數(shù)據(jù)。

為使用app的功能和禁用app內(nèi)廣告，app要求用戶用其Facebook賬戶登錄。App內(nèi)的廣告是真實(shí)存在的，但目的是為了鼓勵(lì)安卓設(shè)備所有者來執(zhí)行要求的動(dòng)作——使用Facebook賬戶登錄。

APP啟動(dòng)時(shí)的界面如下所示：

鼓勵(lì)潛在受害者使用Facebook賬戶登錄的消息：

如果用戶同意并點(diǎn)擊登錄按鈕，就會(huì)看到標(biāo)準(zhǔn)的社交網(wǎng)絡(luò)登錄表單：

這些表單是無害的。木馬使用了一種特殊的機(jī)制來誘惑受害者。惡意軟件啟動(dòng)后，在從C2服務(wù)器接收到必要的設(shè)置后，就會(huì)加載合法的Facebook web頁面https://www.facebook.com/login.php 到webview中。然后，在同一webview中加載從C2服務(wù)器接收到的JS。JS腳本是用來劫持用戶輸入的登錄憑證的。之后，JS代碼會(huì)竊取用戶輸入的登錄憑證和密碼并傳遞給木馬應(yīng)用，然后傳輸數(shù)據(jù)到攻擊者的C2服務(wù)器。受害者在登錄賬戶后，木馬也會(huì)從當(dāng)前的認(rèn)證會(huì)話中竊取cookie。這些竊取的cookie也會(huì)發(fā)送給攻擊者。

研究人員分析發(fā)現(xiàn)攻擊者可以很容易的修改木馬的設(shè)置，加載其他合法服務(wù)的web頁面。甚至還可以在釣魚網(wǎng)站中使用完全偽造的表單，因此該木馬可以用來從任意服務(wù)竊取登錄憑證和密碼。

本文翻譯自：https://news.drweb.com/show/?i=14244&lng=en