I ricercatori hanno scoperto 9 app che utilizzavano un metodo furtivo per rubare le credenziali. Le app con 5,8 milioni di download su Google Play hanno rubato le password di Facebook degli utenti.
Google ha bannato nove app Android scaricate più di 5,8 milioni di volte dal marketplace Play dell’azienda dopo che i ricercatori hanno affermato che queste app utilizzavano un modo subdolo per rubare le credenziali di accesso a Facebook degli utenti.
Secondo un post pubblicato dalla società di sicurezza Dr. Web, tutte le app identificate hanno offerto agli utenti un’opzione per disabilitare gli annunci in-app accedendo ai propri account Facebook. Gli utenti che hanno scelto l’opzione hanno visto un vero modulo di accesso a Facebook contenente campi per l’inserimento di nomi utente e password.
Questi trojan usavano un meccanismo speciale per ingannare le loro vittime. Dopo aver ricevuto le impostazioni necessarie, hanno caricato la pagina Web legittima di Facebook in WebView. Successivamente, hanno caricato uno script nella stessa finestra. Questo script è stato utilizzato direttamente per dirottare le credenziali di accesso immesse.
Dopo che la vittima ha effettuato l’accesso al proprio account, i trojan hanno anche rubato i cookie dalla sessione di autorizzazione corrente. L’analisi dei programmi dannosi ha mostrato che tutti hanno ricevuto impostazioni per il furto di accessi e password degli account Facebook. Tuttavia, gli aggressori avrebbero potuto facilmente modificare le impostazioni dei trojan e comandare loro di caricare la pagina web di un altro servizio legittimo.
La maggior parte dei download riguardava un’app chiamata PIP Photo, a cui si è avuto accesso più di 5,8 milioni di volte. L’app con la successiva maggiore copertura è stata Processing Photo, con oltre 500.000 download. Le app rimanenti erano:
Una ricerca su Google Play mostra che tutte le app sono state rimosse da Play. Un portavoce di Google ha affermato che la società ha anche bandito gli sviluppatori di tutte e nove le app dallo store, il che significa che non saranno autorizzati a inviare nuove app. Chiunque abbia scaricato una delle app di cui sopra dovrebbe esaminare attentamente il proprio dispositivo e i propri account Facebook per eventuali segni di compromissione.