En ny rapport kaster lidt lys over en omfattende falsk Android-app-kampagne, der distribuerer Facestealer-spywaren.
Ny kampagne med falske Android-apps leverer Facestealer-spyware
Først dokumenteret i juli 2021, malwaren er designet til at stjæle logins og adgangskoder til Facebook-konti, og spredes via bedrageriske apps på Google Play. Stjålne legitimationsoplysninger er et alvorligt sikkerhedsproblem, da de kan sætte hackere i stand til at udføre en række ondsindede handlinger, herunder phishing-kampagner, falsk opslag, og droppe annoncebots.
Det er også bemærkelsesværdigt, at Facestealer ligner en anden mobil malware-prøve, kaldet Joker. Denne type malware distribueres normalt via apps, der ser uskyldigt ud, som ender på tusindvis af enheder. I tilfældet med Facestealer, apps er mere end 200, herunder fitness, billedredigering, VPN, etc. For eksempel, lad os tage Daily Fitness OL-appen.
Hvordan foregår en infektion med Daily Fitness OL?
Ved lancering, appen sender en anmodning til hxxps://sufen168[.]space/config for at downloade dens krypterede konfiguration. På tidspunktet for Trend Micros analyse, den returnerede konfiguration var følgende:
`eXyJkIjowLCJleHQxIjoiNSw1LDAsMiwwIiwiZXh0MiI6IiIsImkiOjAsImlkIjoiMTE1NTYzNDk2MTkxMjE3MiIsImwiOjAsImxvZ2luX3BpY191cmjxfcIwI`inwd
efter dekryptering, den rigtige konfiguration blev ændret til:
{“d”:0,”ext1″:”5,5,0,2,0″,”ext2″:””,”Jeg”:0,”id”:”1155634961912172″,”l”:0,”login_pic_url_switch”:0,”lr”:”70″}
"L"et i konfigurationen er det flag, der bruges til at kontrollere, om der vises en prompt for at bede brugeren om at logge ind på Facebook. Når brugeren logger ind på Facebook, appen starter en WebView (en integreret browser) for at indlæse en URL, for eksempel, hxxps://røre[.]facebook[.]dk/hjem[.]php?sk=h_nor, fra den downloadede konfiguration. Et stykke JavaScript-kode injiceres derefter i den indlæste webside for at stjæle de legitimationsoplysninger, som brugeren har indtastet,” forklarede rapporten.
Når brugeren logger ind på sin konto, appen indsamler cookien, spywaren krypterer alle tilgængelige personligt identificerbare oplysninger, og sender den tilbage til fjernserveren.
De andre bedrageriske apps deler et lignende adfærdsmønster.
I en nøddeskal, Facestealer-apps er smart forklædt som simple værktøjer til Android-enheder, får dem til at se nyttige ud for brugerne. Det der er besværligt er det, på grund af den måde, Facebook kører sin cookiehåndteringspolitik på, forskerne frygter, at disse typer apps vil fortsætte med at plage Play Butik.
For at undgå at downloade sådan en farlig app, sørg for at tjekke dens anmeldelser. "Brugere bør også anvende due diligence over for udviklerne og udgiverne af disse apps, så de bedre kan undgå apps med risikable hjemmesider eller skitserede udgivere, især i betragtning af antallet af alternativer på app store,” tilføjede Trend Micro.
Andre eksempler på mobil malware rettet mod Android-brugere inkluderer SharkBot Android trojan, den GriftHorse trojan, og ERMAC bankmand.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: