圖片濾鏡應用被曝可竊取FB登錄憑證下架前已安裝超10萬次
一款用於竊取Facebook 登錄憑證的惡意Android 應用目前在Google Play 商城上已經被安裝超過10 萬次,而且該應用目前仍可下載(發稿時已下架)。這款惡意程序被偽裝成“Craftsart Cartoon Photo Tools”卡通化應用,允許用戶上傳圖片並將其轉換為卡通渲染。
過去1 週,安全研究人員和移動安全公司Pradeo 發現,該Android 應用包括一個名為“FaceStealer”的木馬,它顯示一個Facebook 登錄屏幕,要求用戶在使用該應用前登錄。
據Jamf 安全研究員Michal Rajčan 稱,當用戶輸入他們的憑證時,該應用程序將把它們發送到zutuu[.]info [VirusTotal]的命令和控制服務器,然後攻擊者可以收集這些信息。
除了C2 服務器,惡意的Android 應用程序將連接到www.dozenorms[.]club URL [VirusTotal],在那裡發送進一步的數據,而且過去曾被用來推廣其他惡意的FaceStealer Android 應用程序。
正如Pradeo在其報告中所解釋的那樣,這些應用程序的作者和分銷商似乎已經將重新包裝的過程自動化,並將一小段惡意代碼注入到一個其他合法的應用程序中。然而,一旦他們登錄,該應用程序將提供有限的功能,將指定的圖片上傳到在線編輯器http://color.photofuneditor.com/,該編輯器將對圖片應用圖形濾鏡。
由於特定的應用程序仍在Play Store上,人們可能會自動認為該Android應用程序是值得信賴的。但不幸的是,惡意的Android應用有時會潛入Google應用商店,並一直保留到從差評中發現或被安全公司發現。