| 0 |
|
Специалисты «Доктор Веб» обнаружили в каталоге Google Play вредоносные приложения, ворующие логины и пароли пользователей Facebook. Эти трояны-стилеры распространялись под видом безобидных программ, общее число установок которых превысило 5,856 млн.
В общей сложности было выявлено десять таких троянских приложений. Девять из которых на момент обнаружения присутствовали в Google Play: фоторедактор под названием Processing Photo от разработчика chikumburahamilton, App Lock Keep от разработчика Sheralaw Rence, App Lock Manager от Implummet col и Lockit Master от Enali mchicolo, утилита для оптимизации работы Android-устройств Rubbish Cleaner от разработчика SNT.rbcl, астрологические программы Horoscope Daily от HscopeDaily momo и Horoscope Pi от Talleyr Shauna, фитнес-программа Inwell Fitness от Reuben Germaine, редактор изображений PIP Photo от Lillians.
После обращения «Доктор Веб» в Google часть этих вредоносных программ были удалены из Google Play, но некоторые остались.
Кроме того, при изучении этих стилеров обнаружилась их более ранняя модификация, распространявшаяся через Google Play под видом программы-фоторедактора EditorPhotoPip и уже удаленная из каталога, но все еще доступная на сайтах-агрегаторах приложений.
Приложения являлись полностью работоспособными, что должно было ослабить бдительность потенциальных жертв. При этом для доступа ко всем их функциям, а также якобы для отключения рекламы пользователям предлагалось войти в свою учетную запись Facebook. Реклама внутри некоторых программ действительно присутствовала, и этот прием был призван дополнительно подвигнуть владельцев Android-устройств выполнить нужное злоумышленникам действие.
При этом демонстрируемая форма была настоящей. Дело в том, что трояны применяли специальный механизм для обмана своих жертв. Получив после запуска необходимые настройки с одного из управляющих серверов, они загружали легитимную страницу социальной сети Facebook https://www.facebook.com/login.php в WebView. В этот же самый WebView загружался полученный с сервера злоумышленников JavaScript, который непосредственно выполнял перехват вводимых данных авторизации. Затем этот JavaScript при помощи методов, предоставленных через аннотацию JavascriptInterface, передавал украденные логин и пароль троянским приложениям, после чего те отправляли их на сервер злоумышленников. После того как жертва входила в свою учетную запись, трояны дополнительно похищали куки текущей сессии авторизации, которые также отправлялись киберпреступникам.
Анализ этих вредоносных программ показал, что все они получали настройки для кражи логинов и паролей от учетных записей Facebook. Однако злоумышленники могли легко изменить их параметры и скомандовать им загрузить страницу какого-либо иного легитимного сервиса или же вовсе использовать полностью поддельную форму входа, размещенную на фишинговом сайте. Таким образом, трояны могли использоваться для кражи логинов и паролей от совершенно любых сервисов.
Компания «Доктор Веб» рекомендует владельцам Android-устройств устанавливать приложения только от известных и надежных разработчиков, а также обращать внимание на отзывы других пользователей. Отзывы не дают абсолютной гарантии безопасности, однако могут просигнализировать о потенциальной угрозе. Кроме того, обращайте внимание на то, когда и какие программы требуют от вас войти в вашу учетную запись какого-либо сервиса. Если вы не уверены в безопасности выполняемых действий, следует отказаться от продолжения и удалить подозрительную программу.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
