GooglePlayに悩まされている 200 Facestealerスパイウェアを配信する偽のアプリ

新しいレポートは、Facestealerスパイウェアを配布する大規模な偽のAndroidアプリキャンペーンに光を当てています.

偽のAndroidアプリの新しいキャンペーンがFacestealerスパイウェアを配信

7月に最初に文書化 2021, このマルウェアは、Facebookアカウントのログインとパスワードを盗むように設計されています, GooglePlayの不正なアプリを介して拡散します. 盗まれた資格情報は重大なセキュリティ問題です, ハッカーがさまざまな悪意のあるアクションを実行できるようにするため, フィッシングキャンペーンを含む, 偽の投稿, アドボットをドロップします.

Facestealerが別のモバイルマルウェアサンプルに類似していることも注目に値します, ジョーカーと呼ばれる. このタイプのマルウェアは通常、無害に見えるアプリを介して配布されます, 最終的には何千ものデバイスになります. Facestealerの場合, アプリは以上のものです 200, フィットネスを含む, 写真編集, VPN, 等. 例えば, デイリーフィットネスOLアプリを見てみましょう.

DailyFitnessOLの感染はどのように発生しますか?

起動時, アプリはhxxpsにリクエストを送信します://sufen168[.]暗号化された構成をダウンロードするためのspace/config. トレンドマイクロの分析時, 返された構成は次のとおりです:

`eXyJkIjowLCJleHQxIjoiNSw1LDAsMiwwIiwiZXh0MiI6IiIsImkiOjAsImlkIjoiMTE1NTYzNDk2MTkxMjE3MiIsImwiOjAsImxvZ2luX3BpY191cmxfc3dpdGNo

復号化後, 実際の構成はに変更されました:

{“d”:0,”ext1″:”5,5,0,2,0″,”ext2″:””,”私”:0,”id”:”1155634961912172″,”l”:0,”login_pic_url_switch”:0,”lr”:”70″}

「構成の「l」は、ユーザーにFacebookへのログインを求めるプロンプトを表示するかどうかを制御するために使用されるフラグです。. ユーザーがFacebookにログインしたら, アプリはWebViewを起動します (埋め込み可能なブラウザ) URLをロードするには, 例えば, hxxps://接する[.]フェイスブック[.]com / home[.]php?sk = h_nor, ダウンロードした構成から. 次に、JavaScriptコードの一部がロードされたウェブページに挿入され、ユーザーが入力した資格情報を盗みます,」レポートは説明しました.

ユーザーが自分のアカウントにログインしたら, アプリはCookieを収集します, スパイウェアは、利用可能なすべての個人情報を暗号化します, そしてそれをリモートサーバーに送り返します.

他の不正なアプリも同様の行動パターンを共有しています.

手短に, Facestealerアプリは、Androidデバイス用のシンプルなツールに巧妙に偽装されています, それらをユーザーにとって有用に見えるようにする. 面倒なのは, FacebookがCookie管理ポリシーを実行する方法が原因, 研究者たちは、これらのタイプのアプリがPlayストアを悩ませ続けることを恐れています.

そのような危険なアプリのダウンロードを避けるために, そのレビューを確認してください. 「ユーザーは、これらのアプリの開発者と発行者にもデューデリジェンスを適用する必要があります, 危険なウェブサイトや大ざっぱなパブリッシャーのアプリをより適切に回避できるようにするため, 特にアプリストアの選択肢の数を考えると,」トレンドマイクロが追加.

Androidユーザーを標的とするモバイルマルウェアの他の例には、 SharkBotAndroidトロイの木馬, the GriftHorseトロイの木馬, そしてその ERMACバンカー.