安卓、密码窃取
![](http://dingyue.ws.126.net/2022/0324/003a25bdj00r97mi1001cd200u000gwg00u000gw.jpg)
窃取 Facebook 凭据的恶意 Android 应用程序已通过 Google Play 商店安装超过 100,000 次,该应用程序仍可供下载。
Android 恶意软件伪装成一个名为“Craftsart Cartoon Photo Tools”的卡通化应用程序,允许用户上传图像并将其转换为卡通渲染。
过去一周,安全研究人员和移动安全公司 Pradeo 发现 Android 应用程序包含一个名为“ FaceStealer ”的木马,它会显示一个 Facebook 登录屏幕,要求用户在使用该应用程序之前登录。
![](http://dingyue.ws.126.net/2022/0324/a587b661j00r97mi20019d200u000ekg00u000ek.jpg)
应用程序请求用户登录 Facebook (Pradeo)
根据 Jamf 安全研究员 Michal Rajčan的说法,当用户输入他们的凭据时,该应用程序会将他们发送到位于 zutuu[.]info [ VirusTotal ] 的命令和控制服务器,然后攻击者可以收集这些信息。
除了 C2 服务器之外,恶意 Android 应用程序还将连接到 www.dozenorms[.]club URL [ VirusTotal ],进一步的数据被发送到该地址,过去曾被用于推广其他恶意 FaceStealer Android 应用程序。
![](http://dingyue.ws.126.net/2022/0324/a3f5cdd5j00r97mi30032d200r300gwg00r300gw.jpg)
发送数据到打蛋网[.]club server
正如 Pradeo 在其报告中解释的那样,这些应用程序的作者和分销商似乎已经自动化了重新打包过程,并将一小段恶意代码注入到原本合法的应用程序中。
这有助于应用程序通过 Play 商店审查程序,而不会引发任何危险信号。一旦用户打开它,除非他们登录到他们的 Facebook 帐户,否则他们不会获得任何实际功能。
但是,一旦他们登录,该应用程序将通过将指定的图像上传到在线编辑器 http://color.photofuneditor.com/ 来提供有限的功能,该编辑器将对图片应用图形过滤器。
然后,此新图像将显示在应用程序中,用户可以在其中下载或发送给朋友。
由于许多应用程序不必要地要求用户登录服务器,在许多情况下,Facebook 用户已经对这些登录提示麻木了,更常见的是在不怀疑的情况下输入他们的凭据。
麻烦的迹象
尽管这些卡通化应用程序可能很受欢迎和有趣,但人们在安装要求他们输入敏感信息(例如生物特征数据(他们的面部图像))的软件时应该格外小心。
这些应用程序在远程服务器上执行图像更改并应用过滤器,而不是在设备本地,因此您的数据被上传到远程位置,并且有被无限期保存、与他人共享、转售等风险。
由于特定应用程序仍在 Play 商店中,因此人们可能会自动假设 Android 应用程序是值得信赖的。但不幸的是,恶意 Android 应用程序有时会潜入 Google Play 商店并一直存在,直到它们被差评检测或被安全公司发现。
但是,在许多情况下,通过查看他们在 Google Play 上的评论,可以发现欺诈和恶意应用程序。
正如您在下面看到的,“Craftsart 卡通照片工具”的用户评论绝大多数是负面的,在可能的 5 分中总共只有 1.7 颗星。此外,许多评论警告说该应用程序的功能有限,需要您先登录 Facebook。
![](http://dingyue.ws.126.net/2022/0324/f09349b0j00r97mi40011d200ht00ftg00ht00ft.jpg)
Play 商店的用户评论
其次,开发者的名字是“Google Commerce Ltd”,表明它是由谷歌开发的。此外,列出的联系方式包括随机人的 Gmail 电子邮件地址,这是一个很大的危险信号。
![](http://dingyue.ws.126.net/2022/0324/46136d9dj00r97mi5000jd200e300a1g00e300a1.jpg)
Play 商店中的应用详情
我们访问了托管在 Blogspot 上的开发者页面,阅读了该项目的隐私政策,我们在那里发现了一个不同的电子邮件地址,因此甚至出现了不匹配的情况。
![](http://dingyue.ws.126.net/2022/0324/07c684acj00r97mi5000jd200mg0035g00mg0035.jpg)
应用程序隐私政策的安全条款
最后,我们尝试向作者发送一封电子邮件,以对 Pradeo 的指控发表评论,但其中一个地址甚至不存在。
![](http://dingyue.ws.126.net/2022/0324/c52a6dfdj00r97mi60008d200fa003rg00fa003r.jpg)
列出的电子邮件地址不存在
对于您在智能手机上安装的每个应用程序,这似乎是过度审查,但它应该是对具有固有风险的应用程序的标准检查程序。
Pradeo 已告知 Google Craftsart Cartoon Photo Tools 应用程序的性质,Bleeping Computer 也已向 Play Store 团队发送消息,因此 Google 应尽快将其删除。
但是,那些在其设备上安装了该应用程序的人应立即将其删除,重置其 Facebook 帐户,并启用双重身份验证以提供额外保护。
2005 年 2 月 22 日更新- 谷歌发言人通知 Bleeping Computer,该恶意应用程序现已从 Play 商店中删除。
END
![](http://dingyue.ws.126.net/2022/0324/92b84358j00r97mi6000od200u000h7g00u000h7.jpg)
![](http://dingyue.ws.126.net/2022/0324/f2a992c8j00r97mi6000yd200j600asg00j600as.jpg)
![](http://dingyue.ws.126.net/2022/0324/bc3b087dj00r97mi6000kd200hs00b4g00hs00b4.jpg)
![](http://dingyue.ws.126.net/2022/0324/264eb911j00r97mi7001hd200u000gwg00u000gw.jpg)
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴