Een nieuw rapport werpt enig licht op een uitgebreide nep-campagne voor Android-apps die de Facestealer-spyware verspreidt.
Nieuwe campagne van valse Android-apps levert Facestealer-spyware
Voor het eerst gedocumenteerd in juli 2021, de malware is ontworpen om aanmeldingen en wachtwoorden voor Facebook-accounts te stelen, en wordt verspreid via frauduleuze apps op Google Play. Gestolen inloggegevens vormen een serieus beveiligingsprobleem, omdat ze hackers in staat kunnen stellen verschillende kwaadaardige acties uit te voeren, inclusief phishing-campagnes, nep bericht, en het laten vallen van advertentiebots.
Het is ook opmerkelijk dat Facestealer vergelijkbaar is met een ander mobiel malware-voorbeeld, genaamd Joker. Dit type malware wordt meestal verspreid via onschuldig ogende apps, die op duizenden apparaten terechtkomen. In het geval van Facestealer, de apps zijn meer dan 200, inclusief fitness, fotobewerking, VPN, etc. Bijvoorbeeld, laten we de Daily Fitness OL-app nemen.
Hoe vindt een infectie met Daily Fitness OL plaats??
Bij het starten, de app stuurt een verzoek naar hxxps://sufen168[.]space/config om de versleutelde configuratie te downloaden. Ten tijde van de analyse van Trend Micro, de geretourneerde configuratie was de volgende::
`eXyJkIjowLCJleHQxIjoiNSw1LDAsMiwwIiwiZXh0MiI6IiIsImkiOjAsImlkIjoiMTE1NTYzNDk2MTkxMjE3MiIsImwiOjAsImxvZ2luX3BpY191cmJGNfc3dp0`
na ontsleuteling, de echte configuratie is gewijzigd in:
{“d”:0,”ext1″:”5,5,0,2,0″,”ext2″:””,”ik”:0,”id”:”1155634961912172″,”l”:0,”login_pic_url_switch”:0,”lr”:”70″}
"De "l" in de configuratie is de vlag die wordt gebruikt om te bepalen of een prompt verschijnt om de gebruiker te vragen zich aan te melden bij Facebook. Zodra de gebruiker inlogt op Facebook, de app start een WebView (een insluitbare browser) om een URL te laden, bijvoorbeeld, hxxps://aanraken[.]facebook[.]com/home[.]php?sk=h_nor, van de gedownloade configuratie. Een stukje JavaScript-code wordt vervolgens in de geladen webpagina geïnjecteerd om de door de gebruiker ingevoerde inloggegevens te stelen,"Het rapport legde uit".
Zodra de gebruiker inlogt op zijn account, de app verzamelt de cookie, de spyware versleutelt alle beschikbare persoonlijk identificeerbare informatie, en stuurt het terug naar de externe server.
De andere frauduleuze apps delen een vergelijkbaar gedragspatroon.
In een notendop, Facestealer-apps zijn slim vermomd als eenvoudige tools voor Android-apparaten, waardoor ze er nuttig uitzien voor gebruikers. Wat lastig is, is dat, vanwege de manier waarop Facebook zijn cookiebeheerbeleid uitvoert, de onderzoekers vrezen dat dit soort apps de Play Store zullen blijven plagen.
Om te voorkomen dat u zo'n gevaarlijke app downloadt, zorg ervoor dat je de beoordelingen controleert. "Gebruikers moeten ook due diligence toepassen op de ontwikkelaars en uitgevers van deze apps, zodat ze apps met onbetrouwbare websites of vage uitgevers beter kunnen vermijden, vooral gezien het aantal alternatieven in de app store,” Trend Micro toegevoegd.
Andere voorbeelden van mobiele malware gericht op Android-gebruikers zijn onder meer de: SharkBot Android-trojan, de GriftHorse trojan, en ERMAC bankier.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: