56 aplikacji wykradających hasła do Facebooka znaleziono w Google Play

Większość złośliwego oprogramowania pisanego z myślą o systemie Android jest pobierana i instalowana spoza oficjalnych źródeł. Ciężko jest sprawdzić taki program, dlatego bezpieczniejszym rozwiązaniem jest przeglądanie i instalowanie aplikacji z Google Play. Niestety coraz częściej również tam trafiają się szkodniki. Niedawno pisałem o 60 aplikacjach usuniętych w samym grudniu ze sklepu. Teraz media informują[1] o programach, których jedną z funkcji jest kradzież haseł do portalu Facebook.

Szkodnik o nazwie GhostTeam został znalezionych w 56 aplikacjach w sklepie Google Play. Głównym celem była kradzież loginów i haseł do portalu Facebook, a także wyświetlanie w agresywny sposób niechcianych reklam. Odkrycia tego dokonały niezależnie dwie firmy antywirusowe – Trend Micro[2] oraz Avast[3]. Aplikacje miały oferować różnego rodzaju usługi np. latarkę, skaner kodów QR, kompas, akcelerator pobierania plików czy programy rozrywkowe.

Źródło: https://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details
Źródło: https://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details
Źródło: https://blog.trendmicro.com/trendlabs-security-intelligence/ghostteam-adware-can-steal-facebook-credentials/
Źródło: https://blog.trendmicro.com/trendlabs-security-intelligence/ghostteam-adware-can-steal-facebook-credentials/

Podobnie jak w większości tego typu przypadków, aplikacje dostały się do sklepu, ponieważ same w sobie nie zawierały szkodliwego kodu. Natomiast po zainstalowaniu, program sprawdza czy nie znajduje się w środowisku wirtualnym (aplikacje często sprawdza się w maszynach wirtualnych, więc takie zachowanie może utrudnić rozpoznanie zagrożenia), a następnie pobiera z zewnątrz szkodliwy kod, który prosi ofiarę o nadanie praw administratora (obrazek poniżej):

Źródło: https://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details
Źródło: https://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details

Dodatkowo pobrany szkodnik zbiera informacje o urządzeniu (np. ID urządzenia, język, rozdzielczość wyświetlacza) oraz lokalizacji użytkownika. Do przejęcia hasła dochodzi w momencie, kiedy użytkownik na swoim smartfonie spróbuje zalogować się do Facebooka. Wówczas jest wyświetlany komunikat o konieczności ponownej weryfikacji konta i zalogowania się.

Źródło: https://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details
Źródło: https://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details

Zebrane dane są wysyłane na serwer atakującego przez nieszyfrowany kanał. Fragmenty danych przejętych na testowanym przez Avast urządzeniu widać poniżej.

Źródło: https://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details
Źródło: https://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details

Skutki kradzieży danych mogą dotyczyć nie tylko samego Facebooka. Biorąc po uwagę, że wiele osób stosuje jedno hasło do wszystkich serwisów i portali, uzyskanie przez atakującego hasła do serwisu społecznościowego może dać możliwość przejęcia również kont do innych usług. Z tego względu warto stosować narzędzia takie jak manager haseł, gdzie musimy zapamiętać tylko jedno – główne hasło, a reszta jest przechowywana w zaszyfrowanym pliku.

Dodatkowo warto zwracać uwagę na opinie i ilość pobrań aplikacji (chociaż nigdy nie powinien to być jedyny wyznacznik), a także rozważyć zainstalowanie programu antywirusowego jednego z cenionych dostawców dla systemu Android. Więcej na temat phishingu mobilnego na przykładzie zagrożenia Acecard dowiecie się z tego artykułu.

[1] https://thehackernews.com/2018/01/facebook-password-hacking-android.html
[2] https://blog.trendmicro.com/trendlabs-security-intelligence/ghostteam-adware-can-steal-facebook-credentials/
[3] https://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details