Kompania e sigurisë celulare Pradeo ka zbuluar një malware Android që duke u maskuar si një aplikacion për krijimin e vizatimeve të animuara, instalohet në telefonat inteligjentë për të vjedhur kredencialet e hyrjes në Facebook. Malware tashmë është instaluar në mbi 100,000 raste dhe është shkarkuar përmes Google Play Store.
Aplikacioni, i quajtur “Craftsart Cartoon Photo Tools” i lejon përdoruesit të ngarkojnë një imazh dhe ta kthejnë atë në një animacion. Brenda aplikacionit, megjithatë, ekziston një trojan i quajtur “FaceStealer” i cili tregon një ekran identifikimi në Facebook me të cilin përdoruesve u kërkohet qasje përpara se të jetë e mundur të përdoret aplikacioni.
Pasi të jenë futur kredencialet, ato dërgohen në një server komandimi dhe kontrolli, në mënyrë që të jetë e mundur që sulmuesit t’i mbledhin dhe ruajnë sipas nevojës. Malware jo vetëm që lidhet me serverin C2, por edhe me një URL ku dërgohen të dhëna të mëtejshme dhe që në të kaluarën tashmë është përdorur për të përhapur aplikacione të tjera Android që përmbajnë FaceStealer.
Pradeo shpjegon se zhvilluesi i këtyre aplikacioneve ka automatizuar një proces “ri-paketimi” duke injektuar një pjesë të vogël të kodit me qëllim të keq në një aplikacion përndryshe legjitim. Kjo strategji ju lejon të anashkaloni procedurën e kontrollit të Play Store, duke pranuar kështu aplikacionin në dyqanin zyrtar. Kur përdoruesi hap aplikacionin, ai nuk mund të aksesojë asnjë nga veçoritë e aplikacionit që ka shkarkuar derisa të identifikohet përmes ekranit imagjinar të Facebook.
Facebook credentials stealer in Google Play Store @GooglePlay
Package name: com.craftstoon.cartoonphoto
100,000+ installs
C&C: zatuu[.]infocontacted suspicious site: dozenorms[.]club
— Michal Rajčan (@RajcanMichal) March 16, 2022
Duke qenë se ka shumë aplikacione që kërkojnë akses në rrjetet sociale për ndarjen e llojeve të ndryshme të përmbajtjes, publiku në përgjithësi është bërë jo shumë i vëmendshëm ndaj këtij lloji të kërkesave për akses, duke futur kredencialet e tyre pa u pushtuar nga dyshime të veçanta.
Në kohën kur Pradeo përpunoi dhe publikoi analizën e tij, aplikacioni Craftsart Cartoon Photo Tools ishte ende i disponueshëm në Play Store, ndërsa në kohën e shkrimit nuk kishte më asnjë gjurmë të tij. Fatkeqësisht, prania e aplikacioneve në Dyqanin Android Play nuk është domosdoshmërisht një garanci sigurie pasi, siç e kemi parë, sulmuesit ndonjëherë arrijnë të gjejnë mënyra për të anashkaluar kontrollet e verifikimit për pranueshmërinë.
Në çdo rast është gjithmonë e këshillueshme që të shikoni rishikimet përpara se të shkarkoni ndonjë aplikacion. Në rastin e Craftsart Cartoon Photo Tools, për shembull, kishte komente jashtëzakonisht negative me një vlerësim mesatar prej 1.7 yje. Shumë nga këto rishikime theksuan gjithashtu faktin se aplikacioni ofronte funksionalitet të kufizuar dhe kërkonte akses në Facebook. Për disa skrupuj të tjerë, këshillohet gjithashtu që gjithmonë të kontrolloni se kush është zhvilluesi dhe në cilën adresë emaili mund të kontaktohet.
Siç thamë, aplikacioni Craftsart Cartoon Photo Tools tani nuk është më në Play Store, por ata që e kanë shkarkuar duhet ta heqin menjëherë, të ndryshojnë kredencialet e tyre të hyrjes në Facebook dhe të aktivizojnë mbrojtjen me dy faktorë për një nivel shtesë sigurie.
Discussion about this post