06 Июля 2021 12:17 06 Июл 2021 12:17 |

Поделиться

Российские разработчики пресекли массовые кражи паролей к Facebook приложениями для Android

Троянизированные фоторедакторы

По запросу Dr. Web компания Google удалила целый ряд популярных приложений из своего официального магазина после того, как выяснилось, что они крали реквизиты доступа к аккаунтам в Facebook. Приложения пользовались большой популярностью: общее количество установок достигало 5,8 млн.

Всего эксперты Dr. Web выявили 10 троянизированных приложений. На первый взгляд эти программы представляли собой полезные или хотя бы безобидные утилиты — оптимайзеры, фитнес-приложения, фоторедакторы и астрологические программы.

Все заявленные функции они выполняли исправно. Правда, в некоторых случаях пользователям изначально были доступны лишь часть функциональности или в приложении встречалась реклама. Чтобы избавиться от нее и получить доступ ко всем заявленным функциям, пользователям предлагалось войти в свои аккаунты в Facebook.

В публикации Dr. Web приводятся названия приложений. Это, в частности, Processing Photo— довольно популярный редактор, скачанный более 500 тыс. раз. Теперь он распознается как троянец Android.PWS.Facebook.13.

Точно так же опознаются программы App Lock Keep, App Lock Managerи Lockit Master. Их заявленное назначение — ограничивать доступ к другим приложениям на устройстве. Все три троянизированы. Количество скачиваний — 50 тыс., 10 тыс. и 5 тыс. соответственно.

Еще три приложения, которые опознаются как Android.PWS.Facebook.13, это Rubbish Cleaner, популярная утилита для очистки системы с количеством скачиваний более 100 тыс. раз и два астрологических приложения Horoscope Daily и Horoscope Pi разных разработчиков. Rubbish Cleaner и Horoscope Daily набрали более 100 тыс. скачиваний, Horoscope Pi скачали чуть более 1 тыс. раз.

Еще 100 тыс. скачиваний приходится на фитнес-приложение Inwell Fitness. В нем выявлен троянец, обозначенный как Android.PWS.Facebook.14.

Самым же популярным из троянизированных приложений оказался фоторедактор PIP Photo: более 5 млн загрузок. В зависимости от версии, Dr. Web опознает его как Android.PWS.Facebook.17 и Android.PWS.Facebook.18.

Девять из десяти вредоносных приложений присутствовали в Google Play. Компания Google удалила некоторые из них, но часть еще остаются доступными для скачивания.

Вариации на одну и ту же тему

В публикации Dr. Web указывается, что все эти троянцы представляют собой модификацию одной и той же вредоносной программы. Большая часть из перечисленных приложений написаны специально под Android, и лишь модификации 17 и 18 используют фреймворк Flutter, который предполагает кросс-платформенность.

В остальном все эти троянцы используют идентичный формат конфигурационных файлов и одни и те же скрипты Java Script для перехвата вводимых пользовательских данных — логинов и паролей, а также файлов Cookie.

Троянцы могут красть таким образом логины и пароли любых онлайн-сервисов, не только Facebook. В одной из модификаций (Android.PWS.Facebook.15) были выявлены артефакты на китайском языке, что может указывать на происхождение вредоноса.

Эксперты Dr. Web призывают конечных пользователей устанавливать приложения только от «проверенных разработчиков». Однако критерии проверенности довольно трудно определить: для тех, кто не устанавливает себе что-то регулярно, отзывы (легко фальсифицируемые) и количество скачиваний может быть одним из ключевых факторов доверия.

«Вряд ли речь идет о компрометации приложений без ведома и согласия их создателей. Скорее всего, авторы вредоноса договорились с конечными разработчиками приложений о “партнерстве”, и троянцы были внедрены в них уже после проверки Google Play, — полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Учитывая миллионы скачиваний, эту модель можно считать рабочей. Хотя обнаружения вредоносной функциональности было лишь вопросом времени».

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка