Android: Apps com 5,8 milhões de downloads usadas para roubar passwords do seu Facebook

03 Jul 2021 · Android 2 Comentários

Há uma constante luta para limpar as lojas de aplicações dos esquemas de malware que atacam os utilizadores. Desta vez os investigadores descobriram 9 aplicações que utilizavam um ardil para roubar as palavras-passe do Facebook aos utilizadores do Android. O pior é que não são aplicações de nicho, isto é, juntas têm mais de 5,8 milhões de downloads, o que torna já considerável o número elevado de utilizadores com os seus smartphones "comprometidos".

A Google já as removeu depois dos investigadores da empresa de segurança terem descoberto o modus operandi dos criminosos.

Engenharia social para roubar passwords do Facebook

O esquema era simples do ponto de vista da conquista da confiança do utilizador. Segundo a empresa de segurança por trás da descoberta, as aplicações forneceram serviços totalmente funcionais de edição e enquadramento de fotografias, exercício e treino, horóscopos, e remoção de ficheiros de lixo dos dispositivos Android.

Todas as aplicações identificadas ofereciam aos utilizadores uma opção para desativar os anúncios na app através do login nas suas contas do Facebook. Os utilizadores que escolheram a opção viram um formulário de login genuíno do Facebook contendo campos para introduzir nomes de utilizador e palavras-passe.

Tão simples o passo para ter uma app funcional, gratuita e sem publicidade? Caíram milhões neste ardil simples, mas eficaz.

Estes trojans usaram um mecanismo especial para enganar as suas vítimas. Depois de receberem as configurações necessárias de um dos servidores C&C aquando do lançamento, carregaram a página web legítima do Facebook https://www.facebook.com/login.php no WebView. Em seguida, carregaram o JavaScript recebido do servidor C&C no mesmo WebView.

Este script foi utilizado diretamente para sequestrar as credenciais de login introduzidas. Depois disso, este JavaScript, utilizando os métodos fornecidos através da anotação JavascriptInterface, passou o login e palavra-passe roubados para as aplicações trojan, que depois transferiram os dados para o servidor C&C dos atacantes.

Após a vítima ter entrado na sua conta, os trojans também roubaram os cookies da sessão de autorização em curso. Estes cookies foram também enviados aos cibercriminosos.

Explicaram os investigadores da empresa Dr. Web.

Mecanismo poderia ser usado para roubar passwords de qualquer serviço

Segundo a análise feita pelos especialistas, todas estas aplicações com malware receberam instruções para roubar logins e palavras-passe de contas do Facebook. Contudo, os atacantes podiam facilmente ter alterado as definições dos trojans e ordenado que carregassem a página web de outro serviço legítimo.

Aliás, com este mecanismo poderiam até ter utilizado um formulário de login completamente falso, localizado num site de phishing. Assim, os trojans poderiam ter sido utilizados para roubar logins e palavras-passe de qualquer serviço.

Os investigadores identificaram cinco variantes de malware escondidas dentro das aplicações. Três delas eram aplicações Android nativas, e as duas restantes utilizavam a Flutter framework da Google, que foi concebida para compatibilidade entre plataformas.

A empresa de segurança referiu que classifica todas como o mesmo trojan porque utilizam formatos de ficheiro de configuração idênticos e código JavaScript idêntico para roubar dados do utilizador.

As variantes identificadas pela empresa são:

Mais de 5,8 milhões de downloads de apps com malware para Android

A maioria dos downloads foram para uma aplicação chamada PIP Photo. Esta foi descarregada mais de 5,8 milhões de vezes. A aplicação com o maior alcance seguinte foi Processing Photo, com mais de 500.000 descarregamentos.

As restantes aplicações foram:

Rubbish Cleaner: mais de 100.000 downloads
Inwell Fitness: mais de 100.000 downloads
Horoscope Daily: mais de 100.000 downloads
App Lock Keep: mais de 50.000 downloads
Lockit Master: mais de 5.000 downloads
Horoscope Pi: 1.000 downloads
App Lock Manager: 10 downloads

Uma pesquisa no Google Play mostra que todas as aplicações foram removidas da loja. Um porta-voz da Google disse que a empresa também proibiu os criadores de todas as nove aplicações da loja, o que significa que não lhes será permitido submeter novas aplicações.

A Google não teria outra forma de lidar, mesmo sendo uma ação branda, porque não será isto que os fará parar. Facilmente podem inscrever-se numa nova conta, com um nome diferente, pagar os 25 dólares e voltar a tentar enganar a Google e os utilizadores Android. Fácil, certo?

Atenção se as descarregou no seu smartphone

Qualquer pessoa que tenha descarregado uma das aplicações acima referidas deve examinar minuciosamente o seu dispositivo e as suas contas no Facebook para detetar quaisquer sinais de ataque.

Se eventualmente tem uma destas apps instalada ainda no seu Android, remova e troque de imediato a palavra-passe do seu Facebook.

Este artigo tem mais de um ano

Comentários2

Bruno Mota says:

5 de Julho de 2021 às 08:50

A minha palavra passe do Facebook ninguém consegue roubar… não uso Facebook.

Responder
- JCR says:
  
  5 de Julho de 2021 às 09:14
  
  Nem eu, é tão simples resolver estas situações!
  
  Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.