安卓密码窃取恶意软件感染10万谷歌Play用户

窃取 Facebook 凭据的恶意 Android 应用程序已通过 Google Play 商店安装超过 100,000 次，该应用程序仍可供下载。

Android 恶意软件伪装成一个名为“Craftsart Cartoon Photo Tools”的卡通化应用程序，允许用户上传图像并将其转换为卡通渲染。

过去一周，安全研究人员和移动安全公司 Pradeo 发现 Android 应用程序包含一个名为“ FaceStealer ”的木马，它会显示一个 Facebook 登录屏幕，要求用户在使用该应用程序之前登录。

应用程序请求用户登录 Facebook (Pradeo)

根据 Jamf 安全研究员 Michal Rajčan的说法，当用户输入他们的凭据时，该应用程序会将他们发送到位于 zutuu[.]info [ VirusTotal ] 的命令和控制服务器，然后攻击者可以收集这些信息。

除了 C2 服务器之外，恶意 Android 应用程序还将连接到 www.dozenorms[.]club URL [ VirusTotal ]，进一步的数据被发送到该地址，过去曾被用于推广其他恶意 FaceStealer Android 应用程序。

发送数据到打蛋网[.]club server

正如 Pradeo 在其报告中解释的那样，这些应用程序的作者和分销商似乎已经自动化了重新打包过程，并将一小段恶意代码注入到原本合法的应用程序中。

这有助于应用程序通过 Play 商店审查程序，而不会引发任何危险信号。一旦用户打开它，除非他们登录到他们的 Facebook 帐户，否则他们不会获得任何实际功能。

但是，一旦他们登录，该应用程序将通过将指定的图像上传到在线编辑器 http://color.photofuneditor.com/ 来提供有限的功能，该编辑器将对图片应用图形过滤器。

然后，此新图像将显示在应用程序中，用户可以在其中下载或发送给朋友。

由于许多应用程序不必要地要求用户登录服务器，在许多情况下，Facebook 用户已经对这些登录提示麻木了，更常见的是在不怀疑的情况下输入他们的凭据。

麻烦的迹象

尽管这些卡通化应用程序可能很受欢迎和有趣，但人们在安装要求他们输入敏感信息（例如生物特征数据（他们的面部图像））的软件时应该格外小心。

这些应用程序在远程服务器上执行图像更改并应用过滤器，而不是在设备本地，因此您的数据被上传到远程位置，并且有被无限期保存、与他人共享、转售等风险。

由于特定应用程序仍在 Play 商店中，因此人们可能会自动假设 Android 应用程序是值得信赖的。但不幸的是，恶意 Android 应用程序有时会潜入 Google Play 商店并一直存在，直到它们被差评检测或被安全公司发现。

但是，在许多情况下，通过查看他们在 Google Play 上的评论，可以发现欺诈和恶意应用程序。

正如您在下面看到的，“Craftsart 卡通照片工具”的用户评论绝大多数是负面的，在可能的 5 分中总共只有 1.7 颗星。此外，许多评论警告说该应用程序的功能有限，需要您先登录 Facebook。

Play 商店的用户评论

其次，开发者的名字是“Google Commerce Ltd”，表明它是由谷歌开发的。此外，列出的联系方式包括随机人的 Gmail 电子邮件地址，这是一个很大的危险信号。

Play 商店中的应用详情

我们访问了托管在 Blogspot 上的开发者页面，阅读了该项目的隐私政策，我们在那里发现了一个不同的电子邮件地址，因此甚至出现了不匹配的情况。

应用程序隐私政策的安全条款

最后，我们尝试向作者发送一封电子邮件，以对 Pradeo 的指控发表评论，但其中一个地址甚至不存在。

列出的电子邮件地址不存在

对于您在智能手机上安装的每个应用程序，这似乎是过度审查，但它应该是对具有固有风险的应用程序的标准检查程序。

Pradeo 已告知 Google Craftsart Cartoon Photo Tools 应用程序的性质，Bleeping Computer 也已向 Play Store 团队发送消息，因此 Google 应尽快将其删除。

但是，那些在其设备上安装了该应用程序的人应立即将其删除，重置其 Facebook 帐户，并启用双重身份验证以提供额外保护。

2005 年 2 月 22 日更新- 谷歌发言人通知 Bleeping Computer，该恶意应用程序现已从 Play 商店中删除。