Większość złośliwego oprogramowania pisanego z myślą o systemie Android jest pobierana i instalowana spoza oficjalnych źródeł. Ciężko jest sprawdzić taki program, dlatego bezpieczniejszym rozwiązaniem jest przeglądanie i instalowanie aplikacji z Google Play. Niestety coraz częściej również tam trafiają się szkodniki. Niedawno pisałem o 60 aplikacjach usuniętych w samym grudniu ze sklepu. Teraz media informują[1] o programach, których jedną z funkcji jest kradzież haseł do portalu Facebook.
Szkodnik o nazwie GhostTeam został znalezionych w 56 aplikacjach w sklepie Google Play. Głównym celem była kradzież loginów i haseł do portalu Facebook, a także wyświetlanie w agresywny sposób niechcianych reklam. Odkrycia tego dokonały niezależnie dwie firmy antywirusowe – Trend Micro[2] oraz Avast[3]. Aplikacje miały oferować różnego rodzaju usługi np. latarkę, skaner kodów QR, kompas, akcelerator pobierania plików czy programy rozrywkowe.
Podobnie jak w większości tego typu przypadków, aplikacje dostały się do sklepu, ponieważ same w sobie nie zawierały szkodliwego kodu. Natomiast po zainstalowaniu, program sprawdza czy nie znajduje się w środowisku wirtualnym (aplikacje często sprawdza się w maszynach wirtualnych, więc takie zachowanie może utrudnić rozpoznanie zagrożenia), a następnie pobiera z zewnątrz szkodliwy kod, który prosi ofiarę o nadanie praw administratora (obrazek poniżej):
Dodatkowo pobrany szkodnik zbiera informacje o urządzeniu (np. ID urządzenia, język, rozdzielczość wyświetlacza) oraz lokalizacji użytkownika. Do przejęcia hasła dochodzi w momencie, kiedy użytkownik na swoim smartfonie spróbuje zalogować się do Facebooka. Wówczas jest wyświetlany komunikat o konieczności ponownej weryfikacji konta i zalogowania się.
Zebrane dane są wysyłane na serwer atakującego przez nieszyfrowany kanał. Fragmenty danych przejętych na testowanym przez Avast urządzeniu widać poniżej.
Skutki kradzieży danych mogą dotyczyć nie tylko samego Facebooka. Biorąc po uwagę, że wiele osób stosuje jedno hasło do wszystkich serwisów i portali, uzyskanie przez atakującego hasła do serwisu społecznościowego może dać możliwość przejęcia również kont do innych usług. Z tego względu warto stosować narzędzia takie jak manager haseł, gdzie musimy zapamiętać tylko jedno – główne hasło, a reszta jest przechowywana w zaszyfrowanym pliku.
Dodatkowo warto zwracać uwagę na opinie i ilość pobrań aplikacji (chociaż nigdy nie powinien to być jedyny wyznacznik), a także rozważyć zainstalowanie programu antywirusowego jednego z cenionych dostawców dla systemu Android. Więcej na temat phishingu mobilnego na przykładzie zagrożenia Acecard dowiecie się z tego artykułu.
[1] https://thehackernews.com/2018/01/facebook-password-hacking-android.html
[2] https://blog.trendmicro.com/trendlabs-security-intelligence/ghostteam-adware-can-steal-facebook-credentials/
[3] https://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details
