Um novo relatório lança alguma luz sobre uma extensa campanha falsa de aplicativos Android que distribui o spyware Facestealer.
Nova campanha de aplicativos falsos para Android oferece spyware facestealer
Documentado pela primeira vez em julho 2021, o malware é projetado para roubar logins e senhas para contas do Facebook, e é espalhado por meio de aplicativos fraudulentos no Google Play. Credenciais roubadas são um sério problema de segurança, como eles podem permitir que hackers executem uma variedade de ações maliciosas, incluindo campanhas de phishing, postagem falsa, e descartando bots de anúncios.
Vale ressaltar também que o Facestealer é semelhante a outra amostra de malware móvel, chamado Coringa. Esse tipo de malware geralmente é distribuído por meio de aplicativos de aparência inocente, que acabam em milhares de dispositivos. No caso do Facestealer, os aplicativos são mais do que 200, incluindo fitness, edição de fotos, VPN, etc. Por exemplo, vamos pegar o aplicativo Daily Fitness OL.
Como ocorre uma infecção com Daily Fitness OL?
Ao iniciar, o aplicativo envia uma solicitação para hxxps://sufen168[.]space/config para baixar sua configuração criptografada. No momento da análise da Trend Micro, a configuração retornada foi a seguinte:
`eXyJkIjowLCJleHQxIjoiNSw1LDAsMiwwIiwiZXh0MiI6IiIsImkiOjAsImlkIjoiMTE1NTYzNDk2MTkxMjE3MiIsImwiOjAsImxvZ2luX3BpY191cmxfc3dpdGNoIjowLCJsciI6IjcwIn0`
Após a descriptografia, a configuração real foi alterada para:
{“d”:0,”ramal 1″:”5,5,0,2,0″,”ramal2″:””,”Eu”:0,”Eu iria”:”1155634961912172″,”eu”:0,”login_pic_url_switch”:0,”lr”:”70″}
“O “l” na configuração é o sinalizador usado para controlar se um prompt aparece para pedir ao usuário que faça login no Facebook. Depois que o usuário fizer login no Facebook, o aplicativo inicia um WebView (um navegador incorporável) para carregar um URL, por exemplo, hxxps://toque[.]Facebook[.]com/home[.]php?sk=h_nor, da configuração baixada. Um pedaço de código JavaScript é então injetado na página da Web carregada para roubar as credenciais inseridas pelo usuário,” explicou o relatório.
Depois que o usuário fizer login em sua conta, o aplicativo coleta o cookie, o spyware criptografa todas as informações de identificação pessoal disponíveis, e envia de volta para o servidor remoto.
Os outros aplicativos fraudulentos compartilham um padrão de comportamento semelhante.
Em poucas palavras, Aplicativos Facestealer são disfarçados de forma inteligente como ferramentas simples para dispositivos Android, tornando-os úteis para os usuários. O que incomoda é que, devido à maneira como o Facebook executa sua política de gerenciamento de cookies, os pesquisadores temem que esses tipos de aplicativos continuem a atormentar a Play Store.
Para evitar o download de um aplicativo tão perigoso, certifique-se de verificar seus comentários. “Os usuários também devem aplicar a devida diligência aos desenvolvedores e editores desses aplicativos, para que eles possam evitar aplicativos com sites duvidosos ou editores duvidosos, especialmente devido ao número de alternativas na loja de aplicativos,” Trend Micro adicionado.
Outros exemplos de malware móvel direcionado a usuários do Android incluem o Trojan Android SharkBot, a Trojan GriftHorse, e a Banqueiro ERMAC.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: