Google Play中9款應(yīng)用被發(fā)現(xiàn)會(huì)竊取用戶的Facebook密碼

據(jù)外媒報(bào)道，Google日前宣布，該公司旗下的9款A(yù)ndroid應(yīng)用在Play Store的下載量超過了580萬次。此前，研究人員稱這些應(yīng)用通過一種卑鄙的方式竊取了用戶的Facebook登錄信息。據(jù)安全公司Dr. Web發(fā)布的一篇帖子了解到，為了贏得用戶的信任、降低他們的警惕，這些應(yīng)用程序提供了功能齊全的服務(wù)--包括照片編輯和取色、鍛煉和訓(xùn)練、占星及移除Android設(shè)備上的垃圾文件。

所有被識(shí)別的應(yīng)用都為用戶提供了登錄Facebook賬號(hào)來禁用應(yīng)用內(nèi)廣告的選項(xiàng)。選擇該選項(xiàng)的用戶會(huì)看到一個(gè)真正的Facebook登錄表單，其中包含輸入用戶名和密碼的字段。

Dr. Web的研究人員寫道：

“這些木馬使用了一種特殊的機(jī)制來欺騙他們的受害者。在啟動(dòng)時(shí)從一個(gè)C&C服務(wù)器接收到必要的設(shè)置后，他們將合法的Facebook網(wǎng)頁https://www.facebook.com/login.php加載到WebView中。接下來，他們將從C&C服務(wù)器接收到的JavaScript加載到同一個(gè)WebView中。該腳本被直接用于劫持輸入的登錄憑據(jù)。之后，該JavaScript使用JavascriptInterface注釋提供的方法將竊取的登錄名和密碼傳遞給木馬應(yīng)用，木馬應(yīng)用將數(shù)據(jù)傳輸給攻擊者的C&C服務(wù)器。在受害者登錄他們的賬號(hào)后，木馬還從當(dāng)前的授權(quán)會(huì)話中竊取了cookies。這些cookies還被發(fā)送給了網(wǎng)絡(luò)罪犯。

對(duì)惡意程序的分析顯示，他們都收到了竊取Facebook賬戶登錄名和密碼的設(shè)置。然而，攻擊者可以很容易地改變木馬的設(shè)置并命令它們加載另一個(gè)合法服務(wù)的網(wǎng)頁。他們甚至可以使用釣魚網(wǎng)站上的完全偽造的登錄表單。因此，木馬可能被用來竊取任何服務(wù)的登錄名和密碼?！?/p>

研究人員發(fā)現(xiàn)了隱藏在這些應(yīng)用中的五種惡意軟件變體。其中三個(gè)是原生Android應(yīng)用，其余兩個(gè)使用的則是Google的Flutter框架--這是為跨平臺(tái)兼容性而設(shè)計(jì)的。Dr. Web指出，它將所有這些木馬歸類為同一種木馬，因?yàn)樗鼈兪褂孟嗤呐渲梦募袷胶拖嗤腏avaScript代碼來竊取用戶數(shù)據(jù)。

Dr. Web將這些變異確定為：

Android.PWS.Facebook.13

Android.PWS.Facebook.14

Android.PWS.Facebook.15

Android.PWS.Facebook.17

Android.PWS.Facebook.18

其中大部分下載量來自一款名為PIP Photo的應(yīng)用，其下載次數(shù)超過580萬次。其次是Processing Photo，下載量超過50萬次。剩下的應(yīng)用是：

Rubbish Cleaner：超10萬次下載

Inwell Fitness：超10萬次下載

Horoscope Daily：超10萬次下載

App Lock Keep：超5萬次下載

Lockit Master：超5000次下載

Horoscope Pi：1000次下載

App Lock Manager：10次下載

現(xiàn)在，所有這些應(yīng)用都已經(jīng)從Google Play中刪除。Google的一位發(fā)言人表示，該公司還禁止了所有9款應(yīng)用的開發(fā)者在其應(yīng)用商店中使用，這意味著他們將不允許提交新的應(yīng)用。Google的做法是正確的，但這對(duì)開發(fā)者來說只是一個(gè)很小的障礙，因?yàn)樗麄冎恍枰淮涡灾Ц?5美元就能使用不同的名字注冊(cè)一個(gè)新的開發(fā)者賬號(hào)。

任何下載過上述應(yīng)用的人都應(yīng)該仔細(xì)檢查自己的設(shè)備和Facebook賬號(hào)，看看是否有任何被攻破的跡象。