软餐获悉,谷歌已从 Play 商店中删除了 9 个应用程序,原因是这些应用窃取了用户的 Facebook 登录信息。
据悉,这些应用程序在被下架时,下载总次数已超过 500 万次。
谷歌在删除这些应用程序的同时,还封禁了对应的开发者,他们将不能发布任何新的应用程序。
网安机构 Dr. Web 的安全研究人员发现,这些恶意应用程序使用一种特殊的机制,诱骗用户交出他们的 Facebook 登录凭证。这些应用程序通过链接他们的 Facebook 个人账户来引诱用户禁用应用程序中的广告。
当用户连接个人账户时,将看到一个表格,用户被要求输入其 Facebook 用户名和密码。加载到 Android WebView 中的 Facebook 页面本身是合法的。然而,研究人员发现劫持者也将恶意 JavaScript 加载到同一个 WebView 中,以窃取用户数据。
Dr. Web 的研究人员指出:
该脚本直接用于劫持输入的登录凭据。之后,这个 JavaScript 使用通过 JavascriptInterface 注释提供的方法,将窃取的登录名和密码传递给木马应用程序,然后将数据传输到攻击者的 C&C 服务器。受害者登录其帐户后,木马还会从当前授权会话中窃取 cookie。这些 cookie 也被发送给攻击者。
这 9 款窃取用户 Facebook 登录名和密码的应用程序是:
- PIP Photo (下载量:5,000,000+)
- Processing Photo (下载量:500,000+)
- Rubbish Cleaner (下载量:100,000+)
- Inwell Fitness (下载量:100,000+)
- Horoscope Daily (下载量:100,000+)
- App Lock Keep (下载量:50,000+)
- Lockit Master (下载量:5,000+)
- Horoscope Pi (下载量:1,000)
- App Lock manager (下载量:10)
Dr. Web 还从这些应用程序中识别出 5 种恶意软件变体。
- Android.PWS.Facebook.13
- Android.PWS.Facebook.14
- Android.PWS.Facebook.15
- Android.PWS.Facebook.17
- Android.PWS.Facebook.18
如果用户在 Android 设备上安装了上述应用,应当立即对其卸载。此外,务必重置自己的 Facebook 密码并启用双因素身份验证,以确保安全。
微信扫一扫