1 июля 2021

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play вредоносные приложения, ворующие логины и пароли пользователей Facebook. Эти трояны-стилеры распространялись под видом безобидных программ, общее число установок которых превысило 5 856 010.

В общей сложности наши специалисты выявили 10 таких троянских приложений. 9 из них на момент обнаружения присутствовали в Google Play:

• фоторедактор под названием Processing Photo (детектируется Dr.Web как Android.PWS.Facebook.13). Он распространялся разработчиком chikumburahamilton, и его установили более 500 000 раз.
• приложения App Lock Keep от разработчика Sheralaw Rence, App Lock Manager от разработчика Implummet col и Lockit Master от разработчика Enali mchicolo (детектируются как Android.PWS.Facebook.13), позволяющие настраивать ограничение доступа к Android-устройствам и установленному на них ПО. Их загрузили не менее 50 000, 10 и 5 000 раз и соответственно.
• утилита для оптимизации работы Android-устройств Rubbish Cleaner от разработчика SNT.rbcl с более чем 100 000 загрузок (детектируется как Android.PWS.Facebook.13).
• астрологические программы Horoscope Daily от разработчика HscopeDaily momo и Horoscope Pi от разработчика Talleyr Shauna (детектируются как Android.PWS.Facebook.13). Первую установили свыше 100 000 раз, вторую ― более 1 000 раз.
• фитнес-программа Inwell Fitness (детектируется как Android.PWS.Facebook.14) от разработчика Reuben Germaine, которую успели установить свыше 100 000 раз.
• редактор изображений PIP Photo, который распространял разработчик Lillians. Различные версии этой программы детектируются как Android.PWS.Facebook.17 и Android.PWS.Facebook.18. У этого приложения ― более 5 000 000 загрузок.

После обращения специалистов «Доктор Веб» в корпорацию Google часть этих вредоносных программ из Google Play были удалены, однако на момент выхода этой публикации некоторые все еще были доступны для загрузки.

Кроме того, при изучении этих стилеров обнаружилась их более ранняя модификация, распространявшаяся через Google Play под видом программы-фоторедактора EditorPhotoPip и уже удаленная из каталога, но все еще доступная на сайтах-агрегаторах приложений. Она была добавлена в вирусную базу Dr.Web как Android.PWS.Facebook.15.

Android.PWS.Facebook.13, Android.PWS.Facebook.14 и Android.PWS.Facebook.15 являются нативными Android-приложениями, а Android.PWS.Facebook.17 и Android.PWS.Facebook.18 используют фреймворк Flutter, предназначенный для кроссплатформенной разработки. Несмотря на это их можно считать модификациями одного трояна, так как они используют один формат конфигурационных файлов и одинаковые скрипты JavaScript для кражи данных.

Приложения являлись полностью работоспособными, что должно было ослабить бдительность потенциальных жертв. При этом для доступа ко всем их функциям, а также якобы для отключения рекламы пользователям предлагалось войти в свою учетную запись Facebook. Реклама внутри некоторых программ действительно присутствовала, и этот прием был призван дополнительно подвигнуть владельцев Android-устройств выполнить нужное злоумышленникам действие.

Так некоторые троянские программы выглядели после запуска:

А так выглядело сообщение, побуждающее потенциальных жертв войти в учетную запись Facebook:

Если пользователь соглашался и нажимал на кнопку входа, он видел стандартную форму ввода логина и пароля социальной сети, как показано на следующем изображении:

При этом демонстрируемая форма была настоящей. Дело в том, что трояны применяли специальный механизм для обмана своих жертв. Получив после запуска необходимые настройки с одного из управляющих серверов, они загружали легитимную страницу социальной сети Facebook https://www.facebook.com/login.php в WebView. В этот же самый WebView загружался полученный с сервера злоумышленников JavaScript, который непосредственно выполнял перехват вводимых данных авторизации. Затем этот JavaScript при помощи методов, предоставленных через аннотацию JavascriptInterface, передавал украденные логин и пароль троянским приложениям, после чего те отправляли их на сервер злоумышленников. После того как жертва входила в свою учетную запись, трояны дополнительно похищали куки текущей сессии авторизации, которые также отправлялись киберпреступникам.

Анализ этих вредоносных программ показал, что все они получали настройки для кражи логинов и паролей от учетных записей Facebook. Однако злоумышленники могли легко изменить их параметры и скомандовать им загрузить страницу какого-либо иного легитимного сервиса или же вовсе использовать полностью поддельную форму входа, размещенную на фишинговом сайте. Таким образом, трояны могли использоваться для кражи логинов и паролей от совершенно любых сервисов.

Вредоносная программа Android.PWS.Facebook.15, являющаяся более ранней модификацией, идентична остальным, однако в ней дополнительно присутствует вывод данных в лог на китайском языке, что может указывать на ее возможное происхождение.

Внешний вид трояна Android.PWS.Facebook.15 и примеры его вывода данных в лог:

Компания «Доктор Веб» рекомендует владельцам Android-устройств устанавливать приложения только от известных и надежных разработчиков, а также обращать внимание на отзывы других пользователей. Отзывы не дают абсолютной гарантии безопасности, однако могут просигнализировать о потенциальной угрозе. Кроме того, обращайте внимание на то, когда и какие программы требуют от вас войти в вашу учетную запись какого-либо сервиса. Если вы не уверены в безопасности выполняемых действий, следует отказаться от продолжения и удалить подозрительную программу.

Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют все известные модификации троянских приложений Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.15, Android.PWS.Facebook.17 и Android.PWS.Facebook.18, поэтому для наших пользователей они опасности не представляют.

Индикаторы компрометации

Подробнее об Android.PWS.Facebook.13

Подробнее об Android.PWS.Facebook.14

Подробнее об Android.PWS.Facebook.15

Подробнее об Android.PWS.Facebook.17

Подробнее об Android.PWS.Facebook.18

Ваш Android нуждается в защите.

Используйте Dr.Web

• Первый российский антивирус для Android
• Более 140 миллионов скачиваний только с Google Play
• Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно