Μια εφαρμογή Android που βρίσκεται στο κατάστημα Google Play δηλώνει ότι είναι μια εφαρμογή επεξεργασίας φωτογραφιών. Ωστόσο, περιέχει κώδικα που κλέβει τα Facebook credentials για την πιθανή εκτέλεση διαφημιστικών καμπανιών για λογαριασμό του χρήστη, με τα στοιχεία πληρωμής του.
Δείτε επίσης: Huawei Cloud: Στόχος ενημερωμένου malware cryptomining
Η εφαρμογή ονομάζεται “Blender Photo Editor-Easy Photo Background Editor” και έχει εγκατασταθεί πάνω από 5.000 φορές μέχρι σήμερα.
Την περασμένη εβδομάδα, παρόμοιες κακόβουλες εφαρμογές με περισσότερες από 500.000 εγκαταστάσεις βρέθηκαν και πάλι στο Play Store.
Το “Log in” με το Facebook κάνει πολύ περισσότερα από μια απλή σύνδεση
Όπως πολλές εφαρμογές Android, η εφαρμογή “Blender Photo Editor-Easy Photo Background Editor” συνοδεύεται από τη λειτουργία σύνδεσης στο Facebook. Εκτός από αυτό, χρησιμοποιεί και τα credentials σας στο Facebook για να κάνει διάφορα άλλα πράγματα.
Η Tatyana Shishkova, αναλύτρια κακόβουλου λογισμικού Android στην Kaspersky, ανακάλυψε την εφαρμογή “trojan” αυτήν την εβδομάδα, η οποία εξακολουθεί να είναι διαθέσιμη στο Google Play store.
Δείτε επίσης: FontOnLake malware: Στοχεύει Linux συστήματα μέσω trojanized utilities
Η εφαρμογή περιέχει κακόβουλο κώδικα, πανομοιότυπο με αυτό που βρέθηκε σε παρόμοιες εφαρμογές “επεξεργασίας φωτογραφιών” την περασμένη εβδομάδα από τον Maxime Ingrao, ερευνητή ασφαλείας στην εταιρεία κυβερνοασφάλειας πληρωμών Evina.
Αυτές οι εφαρμογές Android απαιτούν από τους χρήστες Android να συνδεθούν μέσω του λογαριασμού τους στο Facebook για πρόσβαση στην εφαρμογή, αλλά στη συνέχεια συλλέγουν τα credentials μέσω κρυπτογραφημένων εντολών JavaScript που είναι κρυμμένες μέσα στην εφαρμογή.
Στη συνέχεια, οι εφαρμογές υποβάλλουν αιτήματα στο Facebook Graph API για να ρίξουν μια ματιά στον λογαριασμό Facebook του χρήστη και να αναζητήσουν διαφημιστικές καμπάνιες και αποθηκευμένες πληροφορίες πληρωμής.
Το malware, σύμφωνα με τον Ingrao, “ενδιαφέρεται πολύ για τις διαφημιστικές καμπάνιες που μπορεί να έχετε κάνει και εάν έχετε εγγεγραμμένη πιστωτική κάρτα.” Αυτό θα επιτρέψει στον εισβολέα πίσω από αυτές τις εφαρμογές να δημιουργήσει τις δικές του διαφημιστικές καμπάνιες μέσω των credentials του χρήστη στο Facebook και συνδεδεμένων πληροφοριών πληρωμής.
Δείτε επίσης: ShellClient Malware: Χρησιμοποιείται σε αεροδιαστημικές εταιρείες
Οι χρήστες Android πρέπει να είναι επιφυλακτικοί με τέτοιες εφαρμογές “επεξεργασίας φωτογραφιών” που εμφανίστηκαν πρόσφατα στο κατάστημα Google Play. Όσοι έχουν ήδη εγκαταστήσει οποιαδήποτε τέτοια εφαρμογή θα πρέπει να απεγκαταστήσουν αμέσως την εφαρμογή, να καθαρίσουν το smartphone τους και να επαναφέρουν τα credentials τους στο Facebook.
Πηγή πληροφοριών: bleepingcomputer.com
