Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play вредоносные приложения, ворующие логины и пароли пользователей Facebook. Эти трояны распространялись под видом безобидных программ, общее число установок которых превысило 5 856 010. Приложения являлись полностью работоспособными. При этом для доступа ко всем их функциям, а также якобы для отключения рекламы пользователям предлагалось войти в свою учетную запись Facebook. При заполнении формы троянский код подсматривал учётные данные и куки Facebook и передавал их злоумышленникам.
Троянские фоторедакторы, оптимизаторы и фитнес-приложения
Эксперты «Доктор Веб» обнаружили вредоносные компоненты в следующих программах: фоторедакторах Processing Photo, PIP Photo и EditorPhotoPip, приложениях для управления доступом App Lock Keep, App Lock Manager и Lockit Master, оптимизаторе Rubbish Cleaner, астрологической программе Horoscope Daily и фитнес-приложении Inwell Fitness. После обращения специалистов «Доктор Веб» в корпорацию Google часть этих вредоносных программ из Google Play были удалены, однако на момент выхода этой публикации некоторые все еще были доступны для загрузки.
Когда жертва обращалась для авторизации через Facebook, вредонос показывал легитимную страницу социальной сети Facebook https://www.facebook.com/login.php в WebView. В этот же самый контейнер WebView загружался и полученный от командного центра злоумышленников JavaScript, который непосредственно выполнял перехват вводимых данных авторизации. Затем этот JavaScript передавал украденные логин и пароль троянским приложениям, после чего те отправляли их на сервер злоумышленников. Дополнительно трояны похищали куки текущей сессии авторизации, которые также отправлялись киберпреступникам.
Анализ этих вредоносных программ показал, что все они получали настройки для кражи логинов и паролей от учетных записей Facebook. Однако злоумышленники могли легко изменить их параметры и скомандовать им загрузить страницу какого-либо иного легитимного сервиса или же вовсе использовать полностью поддельную форму входа, размещенную на фишинговом сайте. Таким образом, трояны могли использоваться для кражи логинов и паролей от совершенно любых сервисов.
Рекомендации
Компания «Доктор Веб» рекомендует владельцам Android-устройств устанавливать приложения только от известных и надежных разработчиков, а также обращать внимание на отзывы других пользователей — они не дают абсолютной гарантии безопасности, однако могут просигнализировать о потенциальной угрозе. Кроме того, обращайте внимание на то, когда и какие программы требуют от вас войти в вашу учетную запись какого-либо сервиса. Если вы не уверены в безопасности выполняемых действий, следует отказаться от продолжения и удалить подозрительную программу.
