A Google kilenc, a vállalat Play piacteréről több mint 5,8 millió alkalommal letöltött androidos alkalmazásról derült ki, hogy ellopták a felhasználók Facebook bejelentkezési adatait. A Dr. Web biztonsági cég által közzétett bejegyzés szerint az alkalmazások a felhasználók bizalmának elnyerése és a védettségük csökkentése érdekében teljesen működő szolgáltatásokat kínáltak fotószerkesztéshez, edzéshez, horoszkópokhoz, valamint a kéretlen fájlok eltávolításához. Az azonosított alkalmazások mindegyike lehetőséget kínált a felhasználóknak arra, hogy a Facebook-fiókjukba bejelentkezve letiltsák az alkalmazáson belüli hirdetéseket. Azok a felhasználók, akik ezt a lehetőséget választották, egy a valódira épülő Facebook bejelentkezési űrlapot láttak, amely felhasználónevek és jelszavak megadására szolgáló mezőket tartalmazott.
Ezek a trójaiak egy különleges mechanizmust használtak az áldozataik becsapására. Miután indításkor megkapták a szükséges beállításokat az egyik C&C szervertől, betöltötték a törvényes Facebook weboldalt https://www.facebook.com/login.php a WebView-ba. Ezután a C&C szervertől kapott JavaScriptet töltötték be ugyanabba a WebView-ba. Ezt a szkriptet közvetlenül a megadott bejelentkezési adatok eltérítésére használták. Ezután ez a JavaScript a JavascriptInterface megjegyzésen keresztül biztosított metódusok segítségével továbbította az ellopott bejelentkezési adatokat és jelszót a trójai alkalmazásoknak, amelyek aztán továbbították az adatokat a támadók C&C szerverére. Miután az áldozat bejelentkezett a fiókjába, a trójaiak ellopták az aktuális engedélyezett sütiket is. Ezeket a cookie-kat szintén elküldték a kiberbűnözőknek - írja az Arstechnica.
A rosszindulatú programok elemzése kimutatta, hogy mindannyian a Facebook-fiókok bejelentkezési adatainak és jelszavainak ellopására szolgáló beállításokat kaptak. A támadók azonban könnyen megváltoztathatták a trójaiak beállításait, és egy másik legitim szolgáltatás weboldalának betöltésére utasíthatták őket. Akár egy teljesen hamis bejelentkezési űrlapot is használhattak volna, amely egy adathalász oldalon található. Így a trójaiakkal bármilyen szolgáltatásból ellophatták volna a bejelentkezési adatokat és jelszavakat.
A kutatók öt, az alkalmazásokba rejtett kártevő-változatot azonosítottak. Ezek közül három natív Android-alkalmazás volt, a maradék kettő pedig a Google Flutter keretrendszerét használta, amelyet a platformok közötti kompatibilitásra terveztek. A Dr. Web közölte, hogy mindegyiket ugyanannak a trójai vírusnak minősíti, mivel azonos konfigurációs fájlformátumokat és azonos JavaScript-kódot használnak a felhasználói adatok ellopásához.
A letöltések többsége a PIP Photo nevű alkalmazáshoz kapcsolódott, amelyet több mint 5,8 milliószor szedtek le. A következő legnagyobb elérésű alkalmazás a Processing Photo volt, több mint 500 000 letöltéssel. A fennmaradó alkalmazások a következők voltak:
- Rubbish Cleaner: több mint 100 000 letöltés.
- Inwell Fitness: több mint 100 000 letöltés.
- Horoszkóp Daily: több mint 100 000 letöltés.
- App Lock Keep: több mint 50 000 letöltés.
- Lockit Master: több mint 5,000 letöltés
- Horoszkóp Pi: 1,000 letöltés
- App Lock Manager: 10 letöltés
A Google Playben végzett keresés azt mutatja, hogy az összes alkalmazást eltávolították a Playből. A Google szóvivője elmondta, hogy a vállalat mind a kilenc alkalmazás fejlesztőit is kitiltotta az áruházból, ami azt jelenti, hogy nem küldhetnek be új applikációk. Ez a Google részéről helyes lépés, de ennek ellenére ez csak minimális akadályt jelent a fejlesztők számára, mivel egyszeri 25 dolláros díj ellenében egyszerűen regisztrálhatnak egy új fejlesztői fiókot más néven.
Az Android-felhasználók nem rég egy rosszul sikerült frissítés miatt bosszankodhattak.