万次的应用程序被用来窃取您的
人们一直在努力清除应用程序商店中攻击用户的恶意软件。这次,研究人员发现了 9 个应用程序利用诡计窃取 Android 用户的 Facebook 密码。最糟糕的是,它们不是利基应用程序,也就是说,它们的下载量总计超过 580 万次,这使得使用“受损”智能手机的大量用户已经相当可观。
在安全公司的调查人员发现犯罪分子的作案手法后,谷歌已经将其删除。
Android 上窃取 Facebook 密码的恶意软件插图
社会工程窃取 Facebook 密码
从获得用户信任的角度来看,该方案很简单。据发现背后的安全公司称,这些应用程序提供了功能齐全的服务,包括照片编辑和取景、锻炼和训练、星座运势以及从Android 设备中删除垃圾文件。
所有已识别的应用程序都为用户提供了通过登录 Facebook 帐户来禁用应用内广告的选项。选择该选项的用户会看到一个真实的 Facebook 登录表单,其中包含用于输入用户名和密码的字段。
拥有一款实用、免费且无 电话号码列表 广告的应用程序有多简单?数百万人被这个简单但有效的诡计所迷惑。
这些特洛伊木马使用特殊机制来欺骗受害者。在启动时从其中一台 C&C 服务器收到必要的设置后,他们将合法的 Facebook 网页 加载到 WebView 中。然后,他们将从 C&C 服务器接收到的 JavaScript 加载到同一个 WebView 中。
该脚本直接用于劫持输入的登录凭据。之后,该 JavaScript 使用 JavascriptInterface 注释提供的方法将窃取的登录名和密码传递给木马应用程序,然后木马应用程序将数据传输到攻击者的 C&C 服务器。
受害者登录其帐户后,木马还会从当前授权会话中窃取 cookie。这些 cookie 也被发送给网络犯罪分子。
Dr. Web 公司的研究人员解释道。
带有窃取 Facebook 登录信息的恶意软件的 Android 应用程序的图片
http://zh-cn.blbdirectory.com/wp-content/uploads/2023/12/images11.png
该机制可用于窃取任何服务的密码
根据专家的分析,所有这些恶意软件应用程序都被指示窃取 Facebook 帐户的登录名和密码。然而,攻击者可以轻松地更改木马的设置并命令它们加载另一个合法服务的网页。
事实上,通过这种机制,他们甚至可以使用位于网络钓鱼网站上的完全虚假的登录表单。因此,特洛伊木马可能被用来窃取任何服务的登录名和密码。
研究人员发现了隐藏在应用程序中的五种恶意软件变体。其中三个是原生Android应用程序,其余两个使用Google的Flutter框架,该框架是为跨平台兼容性而设计的。
该安全公司表示,将它们归为同一木马,因为它们使用相同的配置文件格式和相同的 JavaScript 代码来窃取用户数据。
该公司确定的变体是:
含有恶意软件的 Android 应用下载量超过 580 万次
大多数下载都是针对名为PIP Photo的应用程序。该作品的下载量已超过 580 万次。访问量第二高的应用程序是“处理照片”,下载量超过 500,000 次。
頁:
[1]