Android aplikacije sa ukupno 5,8 miliona instalacija krale lozinke za Facebook naloge korisnika

Mobilni telefoni, 05.07.2021, 10:30 AM

Google je bio prinuđen da ukloni devet Android aplikacija koje su iz Google Play prodavnice preuzete više od 5,8 miliona puta nakon što su aplikacije uhvaćene u krađi podataka za prijavljivanje na Facebook.

Googleu su ove aplikacije prijavili istraživači ruske kompanije Doctor Web koji su osim u ovih devet aplikacija, otkrili trojanca u još jednoj aplikaciji koja nije bila u Play prodavnici.

“Aplikacije su bile u potpunosti funkcionalne, što je trebalo da oslabi budnost potencijalnih žrtava. Da bi pristupili svim funkcijama aplikacija i navodno onemogućili oglase u aplikacijama, korisnici su morali da se prijave na svoje Facebook naloge”, rekli su istraživači Doctor Weba. „Oglasa je zaista bilo u nekim aplikacijama, a ovaj manevar je trebalo da dodatno podstakne vlasnike Android uređaja da izvrše potrebne radnje.“

Prava svrha ovih aplikacija prikrivena je maskiranjem u aplikacije za uređivanje fotografija, optimizaciju, fitnes i astrologiju.

Reč je o sledećim aplikacijama:

PIP Photo (više od 5.000.000 instalacija)

Processing Photo (više od 500.000 instalacija)

Rubbish Cleaner (više od 100.000 instalacija)

Horoscope Daily (više od 100.000 instalacija)

Inwell Fitness (više od 100.000 instalacija)

App Lock Keep (50.000 instalacija)

Lockit Master (5000 instalacija)

Horoscope Pi (više od 1000 instalacija)

App Lock Manager (10 instalacija)

Nakon što ih je Doctor Web prijavio Googleu, deo ovih zlonamernih aplikacija uklonjen je sa Google Play. Međutim, u trenutku kada je Doctor Web izašao u javnost sa svojim otkrićem, neke aplikacije su i dalje bile dostupne za preuzimanje.

Istraživači Doctor Weba otkrili su još jednu zlonamernu aplikaciju koja se širila preko Google Playa pod maskom softvera za uređivanje slika pod nazivom EditorPhotoPip. Ona je uklonjena iz zvanične prodavnice aplikacija za Android, ali je i dalje dostupna na nekim veb sajtovima.

Kada bi se neka od navedenih aplikacija pokrenula, korisnici su podsticani da se prijave na svoj Facebook nalog kako bi navodno aplikacija bila potpuno funkcionalna. Ako bi naseli na ovo i kliknuli na dugme za prijavljivanje, pojavljivao se poznati ekran za prijavljivanje na društvenu mrežu. Trojanac u aplikaciji bi nakon što dobije neophodna podešavanja sa servera, učitavao legitimnu Facebook stranicu https://www.facebook.com/login.php u WebView. Trojanac bi zatim prosledio podatke za prijavu na server napadača, a nakon što bi se žrtva prijavila na nalog, trojanac je krao kolačiće iz trenutne sesije autorizacije, koji bi takođe bili poslati napadačima.

Analiza aplikacija je pokazala da su dobijale podešavanja samo za krađu lozinki za Facebook naloge. Međutim, napadači su lako mogli da promene podešavanja trojanca i da učitaju neku drugu veb stranicu. Tako su ove aplikacije mogle da se koriste za krađu podataka za prijavljivanje sa bilo kog veb sajta.

Doctor Web preporučuje vlasnicima Android uređaja da instaliraju aplikacije samo poznatih i pouzdanih programera, kao i da obrate pažnju na ocene i recenzije drugih korisnika. One ne mogu da pruže apsolutnu garanciju da su aplikacije bezopasne, ali mogu da upozore na potencijalne pretnje. Takođe treba obratiti pažnju na to kada i koje aplikacije od vas traže da se prijavite na svoj nalog. Ako niste sigurni da je ono što radite bezbedno, bilo bi bolje da ne nastavljate dalje i deinstalirate sumnjivi program.