Μια κακόβουλη εφαρμογή Android έχει εγκατασταθεί σε συσκευές πάνω από 100.000 φορές μέσω του Google Play Store. Η εφαρμογή είναι ακόμα διαθέσιμη για λήψη. Η εφαρμογή που εμφανίζεται στο Play Store, είναι κακόβουλη γιατί είναι στην πραγματικότητα ένα Android malware, ένα trojan που ονομάζεται “FaceStealer” και στοχεύει στην κλοπή Facebook credentials. Το όνομα της εφαρμογής είναι «Craftsart Cartoon Photo Tools» και επιτρέπει στους χρήστες να ανεβάσουν μια εικόνα και να τη μετατρέψουν σε cartoon.
Την περασμένη εβδομάδα, ερευνητές ασφάλειας και η εταιρεία Pradeo που ασχολείται με το mobile security, ανακάλυψαν ότι η Android εφαρμογή περιλαμβάνει το trojan “FaceStealer”, το οποίο εμφανίζει μια οθόνη σύνδεσης στο Facebook που απαιτεί από τους χρήστες να συνδεθούν πριν από τη χρήση της εφαρμογής.
Δείτε επίσης: Το Google Play Store θα προωθήσει tablet apps με κατάταξη “ποιότητας”
Σύμφωνα με τον ερευνητή ασφαλείας της Jamf, Michal Rajčan, όταν οι χρήστες εισάγουν τα credentials για το λογαριασμό τους στο Facebook, η εφαρμογή τα στέλνει σε έναν command and control server στο zutuu [.]info [VirusTotal]. Από εκεί, οι επιτιθέμενοι μπορούν να συλλέξουν τα credentials των χρηστών.
Εκτός από τον C2 server, η κακόβουλη εφαρμογή Android θα συνδεθεί στο www.dozenorms[.]club URL [VirusTotal] όπου αποστέλλονται περαιτέρω δεδομένα.
Όπως εξηγεί η Pradeo στην έκθεσή της, ο δημιουργός και διανομέας αυτής της εφαρμογής (αλλά και άλλων αντίστοιχων στο παρελθόν) φαίνεται ότι έχει αυτοματοποιήσει τη διαδικασία repackaging και εισάγει ένα μικρό κομμάτι κακόβουλου κώδικα σε μια κατά τα άλλα νόμιμη εφαρμογή.
Αυτό βοηθά τις εφαρμογές να περάσουν από τις διαδικασίες ελέγχου του Play Store χωρίς να φανούν ύποπτες. Όταν οι χρήστες εγκαθιστούν και ανοίγουν την εφαρμογή/trojan, καλούνται να συνδεθούν στο λογαριασμό τους στο Facebook για να μπορούν να χρησιμοποιήσουν το app.
Ακόμα και μετά τη σύνδεση, όμως, η εφαρμογή δεν θα δουλέψει όπως πρέπει. Θα ανεβάσει απλά μια καθορισμένη εικόνα στο διαδικτυακό πρόγραμμα επεξεργασίας, http://color.photofuneditor.com/, το οποίο θα εφαρμόσει ένα φίλτρο γραφικών στην εικόνα.
Η νέα εικόνα θα εμφανιστεί στην εφαρμογή, όπου μπορεί να γίνει λήψη από τον χρήστη ή να σταλεί σε φίλους.
Καθώς υπάρχουν πολλές εφαρμογές που ζητούν από τους χρήστες να συνδεθούν στο Facebook, οι χρήστες είναι συνηθισμένοι και συχνά βάζουν τα credentials τους, χωρίς να υποψιαστούν ότι πρόκειται για απάτη.
Δείτε επίσης: Android trojan παραμένει στο Google Play Store από τον Ιανουάριο
Android Trojan: Προσοχή
Όσο δημοφιλείς και διασκεδαστικές και αν είναι αυτές οι εφαρμογές cartoon και επεξεργασίας, άλλο τόσο επικίνδυνες μπορεί να είναι. Οι χρήστες θα πρέπει να είναι ιδιαίτερα προσεκτικοί κατά την εγκατάσταση λογισμικού που απαιτεί την εισαγωγή ευαίσθητων πληροφοριών, όπως βιομετρικά δεδομένα (εικόνες των προσώπων τους).
Αυτές οι εφαρμογές πραγματοποιούν τις αλλαγές εικόνας και εφαρμόζουν φίλτρα σε έναν απομακρυσμένο διακομιστή, όχι τοπικά στη συσκευή, επομένως τα δεδομένα μεταφορτώνονται σε απομακρυσμένη τοποθεσία και μπορεί να διατηρηθούν επ’ αόριστον, να δοθούν σε άλλους, να πουληθούν κλπ.
Εφόσον η συγκεκριμένη εφαρμογή βρίσκεται ακόμα στο Play Store, μπορεί κάποιος να υποθέσει ότι είναι αξιόπιστη. Δυστυχώς, όμως, οι κακόβουλες εφαρμογές Android, όπως αυτή που περιλαμβάνει το “FaceStealer” trojan, μπορούν να εισχωρήσουν στο Google Play Store και συχνά παραμένουν εκεί μέχρι να εντοπιστούν από ερευνητές.
Ενδείξεις απάτης
Οι κριτικές μιας εφαρμογής μπορεί να μας βοηθήσουν να ανακαλύψουμε αν κάτι είναι περίεργο.
Οι κριτικές των χρηστών για το «Craftsart Cartoon Photo Tools» είναι αρνητικές, με συνολική βαθμολογία μόνο 1,7 αστεριών. Επιπλέον, πολλές από αυτές τις κριτικές προειδοποιούν ότι η εφαρμογή έχει περιορισμένη λειτουργικότητα και απαιτεί πρώτα να συνδεθείτε στο Facebook.
Δεύτερον, το όνομα του προγραμματιστή είναι «Google Commerce Ltd», που υποδηλώνει ότι έχει αναπτυχθεί από την Google. Από την άλλη μεριά, τα στοιχεία επικοινωνίας περιλαμβάνουν τη διεύθυνση Gmail ενός τυχαίου ατόμου. Αυτό αποτελεί ξεκάθαρο red flag.
Δείτε επίσης: SharkBot: Εξάπλωση μέσω ψεύτικου Android Antivirus App στο Google Play Store
Το Bleeping Computer αναφέρει πως επισκέφτηκε τη σελίδα του προγραμματιστή, που φιλοξενείται στο Blogspot, και βρήκε μια διαφορετική διεύθυνση email εκεί (αναντιστοιχία). Τέλος, αποδείχτηκε ότι μια από τις δύο διευθύνσεις δεν υπήρχε πραγματικά.
Αυτό μπορεί να φαίνεται σαν υπερβολικός έλεγχος για κάθε εφαρμογή που εγκαθιστάτε στο smartphone σας, αλλά είναι απαραίτητος.
Η Pradeo ενημέρωσε την Google για τη φύση της εφαρμογής Craftsart Cartoon Photo Tools και το Bleeping Computer έστειλε επίσης ένα μήνυμα στην ομάδα του Play Store. Επομένως, η Google θα αφαιρέσει σύντομα την κακόβουλη Android εφαρμογή με το “FaceStealer”.
Ωστόσο, όσοι έχουν εγκατεστημένη την εφαρμογή στις συσκευές τους θα πρέπει να την αφαιρέσουν αμέσως, να κάνουν επαναφορά των κωδικών τους στο Facebook και να ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων.
Πηγή: Bleeping Computer
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/397596/facestealer-android-trojan-play-store-klevei-facebook-credentials/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:786c3f57fe7bc45a3d854c513389f7b9/https://www.secnews.gr/androidtrojan-min_e3051eb261c47a638024e7ad25d1a392_2000.jpg&description=Το Android malware, μια κακόβουλη εφαρμογή, ένα trojan που ονομάζεται "FaceStealer" και στοχεύει στην κλοπή Facebook credentials){kind=link}