Un nuovo rapporto fa luce su un'ampia campagna per app Android false che distribuisce lo spyware Facestealer.
La nuova campagna di false app Android fornisce lo spyware Facestealer
Documentato per la prima volta a luglio 2021, il malware è progettato per rubare accessi e password per gli account Facebook, e viene diffuso tramite app fraudolente su Google Play. Le credenziali rubate sono un serio problema di sicurezza, in quanto possono consentire agli hacker di eseguire una serie di azioni dannose, comprese le campagne di phishing, pubblicazione falsa, e rilasciando i robot pubblicitari.
È anche interessante notare che Facestealer è simile a un altro campione di malware mobile, chiamato Joker. Questo tipo di malware viene solitamente distribuito tramite app dall'aspetto innocente, che finiscono su migliaia di dispositivi. Nel caso di Facestealer, le app sono più di 200, compreso il fitness, fotoritocco, VPN, etc. Per esempio, prendiamo l'app Daily Fitness OL.
Come si verifica un'infezione con Daily Fitness OL?
Al momento del lancio, l'app invia una richiesta a hxxps://sufen168[.]space/config per scaricare la sua configurazione crittografata. Al momento dell'analisi di Trend Micro, la configurazione restituita era la seguente:
`eXyJkIjowLCJleHQxIjoiNSw1LDasMiwwIiwiZXh0MiI6IiIsImkiOjAsImlkIjoiMTE1NTYzNDk2MTkxMjE3MiIsImwiOjAsImxvZ2luX3BpY191cmxfc3dpdGNoIjowLCJsciI6IjcwIn0`
dopo la decrittazione, la configurazione reale è stata modificata in:
{“d”:0,”est1″:”5,5,0,2,0″,”est2″:””,”Io”:0,”id”:”1155634961912172″,”l”:0,”login_pic_url_switch”:0,”lr”:”70″}
La "l" nella configurazione è il flag utilizzato per controllare se appare un prompt per chiedere all'utente di accedere a Facebook. Una volta che l'utente accede a Facebook, l'app avvia una visualizzazione Web (un browser incorporabile) per caricare un URL, per esempio, hxxps://toccare[.]facebook[.]com/casa[.]php?sk=h_nor, dalla configurazione scaricata. Un pezzo di codice JavaScript viene quindi iniettato nella pagina Web caricata per rubare le credenziali inserite dall'utente,” ha spiegato il rapporto.
Una volta che l'utente accede al proprio account, l'app raccoglie il cookie, lo spyware crittografa tutte le informazioni di identificazione personale disponibili, e lo rimanda al server remoto.
Le altre app fraudolente condividono un modello comportamentale simile.
In poche parole, Le app Facestealer sono abilmente mascherate da semplici strumenti per dispositivi Android, facendoli sembrare utili agli utenti. Ciò che è problematico è questo, a causa del modo in cui Facebook gestisce la sua politica di gestione dei cookie, i ricercatori temono che questi tipi di app continueranno ad affliggere il Play Store.
Per evitare di scaricare un'app così pericolosa, assicurati di controllare le sue recensioni. “Gli utenti dovrebbero anche applicare la due diligence agli sviluppatori e agli editori di queste app, in modo che possano evitare meglio le app con siti Web ingannevoli o editori imprecisi, soprattutto visto il numero di alternative sull'app store,” ha aggiunto Trend Micro.
Altri esempi di malware mobile destinati agli utenti Android includono il Trojan SharkBot per Android, il GriftHorse trojan, e la banchiere ERMAC.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: