Ein neuer Bericht wirft Licht auf eine umfangreiche gefälschte Android-App-Kampagne, die die Facestealer-Spyware verbreitet.
Neue Kampagne gefälschter Android-Apps liefert Facestealer-Spyware
Erstmals dokumentiert im Juli 2021, Die Malware wurde entwickelt, um Logins und Passwörter für Facebook-Konten zu stehlen, und wird über betrügerische Apps bei Google Play verbreitet. Gestohlene Zugangsdaten sind ein ernsthaftes Sicherheitsproblem, da sie Hackern ermöglichen können, eine Vielzahl von böswilligen Aktionen auszuführen, einschließlich Phishing-Kampagnen, Fake-Posting, und das Ablegen von Ad-Bots.
Es ist auch bemerkenswert, dass Facestealer einer anderen mobilen Malware-Probe ähnlich ist, Joker genannt. Diese Art von Malware wird normalerweise über harmlos aussehende Apps verbreitet, die auf Tausenden von Geräten landen. Im Fall von Facestealer, Die Apps sind mehr als 200, einschließlich Fitness, Fotobearbeitung, VPN, etc. Beispielsweise, Nehmen wir die Daily Fitness OL-App.
Wie erfolgt eine Infektion mit Daily Fitness OL??
Beim Starten, Die App sendet eine Anfrage an hxxps://sufen168[.]space/config, um die verschlüsselte Konfiguration herunterzuladen. Zum Zeitpunkt der Analyse von Trend Micro, Die zurückgegebene Konfiguration war die folgende:
`eXyJkIjowLCJleHQxIjoiNSw1LDAsMiwwIiwiZXh0MiI6IiIsImkiOjAsImlkIjoiMTE1NTYzNDk2MTkxMjE3MiIsImwiOjAsImxvZ2luX3BpY191cmxfc3dpdGNoIjowLCJsciI6IjcwIn0`
nach der Entschlüsselung, die reale Konfiguration wurde geändert:
{“d”:0,”ext1″:”5,5,0,2,0″,”ext2″:””,”ich”:0,”Ich würde”:”1155634961912172″,”l”:0,”login_pic_url_switch”:0,”lr”:”70″}
„Das „l“ in der Konfiguration ist das Flag, mit dem gesteuert wird, ob eine Eingabeaufforderung angezeigt wird, um den Benutzer aufzufordern, sich bei Facebook anzumelden. Sobald sich der Benutzer bei Facebook anmeldet, Die App startet eine WebView (ein integrierbarer Browser) um eine URL zu laden, beispielsweise, hxxps://berühren[.]facebook[.]com/home[.]php?sk=h_nor, aus der heruntergeladenen Konfiguration. Ein Stück JavaScript-Code wird dann in die geladene Webseite eingefügt, um die vom Benutzer eingegebenen Anmeldeinformationen zu stehlen,“, erklärte der Bericht.
Sobald sich der Benutzer bei seinem Konto anmeldet, die App sammelt das Cookie, Die Spyware verschlüsselt alle verfügbaren persönlich identifizierbaren Informationen, und sendet es an den Remote-Server zurück.
Die anderen betrügerischen Apps weisen ein ähnliches Verhaltensmuster auf.
In einer Nussschale, Facestealer-Apps sind geschickt als einfache Tools für Android-Geräte getarnt, damit sie für die Benutzer nützlich aussehen. Was lästig ist, ist das, aufgrund der Art und Weise, wie Facebook seine Cookie-Verwaltungsrichtlinie ausführt, Die Forscher befürchten, dass diese Arten von Apps den Play Store weiterhin plagen werden.
Um das Herunterladen einer so gefährlichen App zu vermeiden, Überprüfen Sie unbedingt die Bewertungen. „Benutzer sollten auch gegenüber den Entwicklern und Herausgebern dieser Apps gebührende Sorgfalt walten lassen, damit sie Apps mit zwielichtigen Websites oder lückenhaften Herausgebern besser vermeiden können, vor allem angesichts der vielen Alternativen im App Store,“ Trend Micro hinzugefügt.
Weitere Beispiele für mobile Malware, die auf Android-Benutzer abzielt, sind die SharkBot Android-Trojaner, die GriftHorse-Trojaner, und die ERMAC-Banker.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: