Facebook kimlik bilgilerini çalan kötü amaçlı bir Android uygulaması, Google Play Store'dan 100.000'den fazla kez kuruldu, uygulama hala indirildi.
Android kötü amaçlı yazılım, kullanıcıların bir resim yüklemelerini ve bir karikatür oluşturmaya dönüştürmelerini sağlayan 'Craftsart Karikatür Fotoğraf Araçları) adlı karikatür cihazı uygulaması olarak gizlenmiştir.
Geçen hafta boyunca, güvenlik araştırmacıları ve mobil güvenlik firması Pradeo, Android uygulamasının, kullanıcıların uygulamayı kullanmadan önce oturum açmasını gerektiren bir Facebook giriş ekranını görüntüleyen bir Facebook giriş ekranı görüntülenen bir Trojan'ı içerdiğini keşfetti.
Jamf Security Researcher Michal Rajčan'a göre, kullanıcılar kimlik bilgilerini girdiğinde, uygulama onları Zutuu [.] Info [Virustotal] 'da bir komuta ve kontrol sunucusuna gönderir, hangi saldırganların toplanabileceği.
C2 sunucusuna ek olarak, kötü amaçlı Android uygulaması www.dozenorms [.] Club URL'si [Virustotal] 'na bağlanacak, başka kötü niyetli facestealer Android uygulamalarını tanıtmak için geçmişte kullanılmıştır.
Pradeo'nun raporunda açıklandığı gibi, bu uygulamaların yazarı ve distribütörü, yeniden paketleme işlemini otomatikleştirmiş ve başka türlü meşru bir uygulamaya küçük bir kötü amaçlı kod parçası enjekte etmiş gibi görünmektedir.
Bu, uygulamaların herhangi bir kırmızı bayrak yükseltmeden oyun deposu veteriner prosedüründen geçmesine yardımcı olur. Kullanıcı açtıktan hemen sonra, Facebook hesabına giriş yapmadıkları sürece gerçek bir işlevsellik verilmezler.
Bununla birlikte, oturum açtıktan sonra, uygulama, resme bir grafik filtresi uygulayacak olan çevrimiçi editöre, http://color.photofuneditor.com/ dosyasına yerleştirilecek olan çevrimiçi editöre, http://color.photofuneditor.com/ dosyasını yükleyerek sınırlı işlevsellik sağlayacaktır.
Bu yeni görüntü daha sonra, kullanıcı tarafından indirilebileceği veya arkadaşlara gönderilebileceği uygulamada görüntülenecektir.
Gereksiz yere kullanıcıların bir sunucuya giriş yapmasını gerektirir, birçok durumda Facebook'ta, kullanıcılar bu oturum açma istemlerine uyuşmuş hale gelmiştir ve daha da genel olarak kimlik bilgilerini şüphe olmadan girin.
Bu karikatür cihazı uygulamaları olabileceğinden, insanlar biyometrik veriler (yüzlerinin görüntüleri) gibi hassas bilgileri girmelerini gerektiren yazılımı kurarken ekstra temkinli olması gerekir.
Bu uygulamalar görüntü değişikliklerini gerçekleştirir ve cihazda yerel olarak değil, uzak bir sunucuya filtreler uygulayın, böylece verileriniz uzak bir konuma yüklenir ve süresiz olarak tutulma riski altındadır, başkalarıyla, resold vb.
Belirli bir uygulama hala oyun mağazasında olduğundan, Android uygulamasının güvenilir olduğunu otomatik olarak varsayabilir. Fakat maalesef, kötü niyetli Android uygulamaları bazen Google Play Store'a gizlice girin ve kötü değerlendirmelerden tespit edilene veya güvenlik şirketleri tarafından keşfedilinceye kadar kalır.
Ancak, Google Play'de yorumlarına bakarak birçok durumda dolandırıcılık ve kötü amaçlı uygulamaları tespit etmek mümkündür.
Aşağıda gördüğünüz gibi, 'Craftsart Cartoon Photo Tools' için kullanıcı yorumları, olası bir beşin dışında sadece 1.7 yıldızın bir puanını toplamaya zorlaşır. Ayrıca, bu yorumların çoğu uygulamanın işlevselliğini sınırlandırdığını ve önce Facebook'ta oturum açmanızı gerektirir.
İkincisi, geliştiricinin adı, Google tarafından geliştirildiğini belirten 'Google Commerce Ltd'. Ayrıca, listelenen iletişim bilgileri, büyük bir kırmızı bayrak olan rastgele bir kişinin gmail e-posta adresini içerir.
Projenin gizlilik politikasını okumak için Blogspot'ta barındırılan geliştiricinin sayfasını ziyaret ettik ve orada farklı bir e-posta adresi bulduk, bu yüzden bir uyuşmazlık var.
Son olarak, Pradeo tarafından yapılan iddialar hakkında bir yorum için yazara bir e-posta göndermeyi denedik, ancak adreslerden biri bile yok.
Bu, akıllı telefonunuza yüklediğiniz her uygulama için aşırı inceleme gibi görünebilir, ancak doğal olarak riskli uygulamalar için standart kontrol prosedürü olmalıdır.
Pradeo, Google'ı Craftsart Karikatür Fotoğraf Araçları uygulamasının doğasını bilgilendirdi ve Bleeping Bilgisayarı ayrıca Play Store ekibine bir mesaj gönderdi, böylece Google kısa bir süre sonra kaldırmalı.
Ancak, cihazlarına yüklü olan uygulamaları hemen kaldırmalı, Facebook hesaplarını sıfırlamalı ve ek koruma için iki faktörlü kimlik doğrulamasını etkinleştirmelidir.
Güncelleme 22/05 - Bir Google Spokesperson, Bleeping Bilgisayarını, kötü amaçlı uygulamanın şimdi oyun mağazasından kaldırıldığını bildirdi.
Yeni flubot ve teabot kampanyaları dünya çapında android cihazları hedefliyor
Android Trojan Ocak ayından bu yana Google Play Store'da devam ediyor
Teabot Kötü amaçlı yazılım, ABD kullanıcılarını hedeflemek için Google Play Store'a geri döner
Microsoft: Ukrayna, işgal öncesi Foxblade kötü amaçlı yazılım saatleriyle vurdu.
Yeni Xenomorph Android Malware 56 Bankanın Müşterilerini Hedefliyor
Kaynak: Bleeping Computer