1 luglio 2021

Gli analisti di virus Doctor Web hanno rilevato su Google Play applicazioni malevole che rubano i login e le password degli utenti Facebook. Questi trojan venivano distribuiti sotto le apparenze di programmi innocui, il numero complessivo di installazioni ha superato 5.856.010.

In totale, i nostri specialisti hanno identificato 10 tali applicazioni trojan. 9 di esse erano presenti su Google Play al momento del rilevamento:

• un software di fotoritocco con il nome Processing Photo (rilevato da Dr.Web come Android.PWS.Facebook.13). Veniva distribuito dallo sviluppatore chikumburahamilton ed è stato installato più di 500.000 volte.
• le applicazioni App Lock Keep dallo sviluppatore Sheralaw Rence, App Lock Manager da Implummet col e Lockit Master dallo sviluppatore Enali mchicolo (rilevate come Android.PWS.Facebook.13), consentono di impostare la limitazione di accesso ai dispositivi Android e ai software installati. Sono state scaricate rispettivamente da almeno 50.000, 10 e 5.000 volte.
• un'utility di ottimazione dei dispositivi Android Rubbish Cleaner dallo sviluppatore SNT.rbcl con oltre 100.000 download (rilevata come Android.PWS.Facebook.13).
• i programmi astrologici Horoscope Daily dallo sviluppatore HscopeDaily momo e Horoscope Pi da Talleyr Shauna (rilevati come Android.PWS.Facebook.13). Il primo è stato installato più di 100.000 volte, il secondo più di 1.000 volte.
• un'app allenamento Inwell Fitness (rilevata come Android.PWS.Facebook.14) dallo sviluppatore Reuben Germaine con il numero di installazioni di oltre 100.000.
• un editor di immagini PIP Photo distribuito dallo sviluppatore Lillians. Le varie versioni di questo programma vengono rilevate come Android.PWS.Facebook.17 e Android.PWS.Facebook.18. L'app ha più di 5.000.000 di download.

Dopo una richiesta degli specialisti Doctor Web all'azienda Google, una parte di queste applicazioni malevole da Google Play è stata rimossa, tuttavia, al momento di questa pubblicazione, alcuni di esse erano ancora disponibili per il download.

Oltre a ciò, lo studio di questi password stealer ha scoperto una loro variante precedente che veniva distribuita attraverso Google Play sotto le apparenze di un programma di fotoritocco EditorPhotoPip e che era stata già rimossa dallo store di app, ma era ancora disponibile su siti di aggregazione di applicazioni. È stata aggiunta al database dei virus Dr.Web com Android.PWS.Facebook.15.

Android.PWS.Facebook.13, Android.PWS.Facebook.14 e Android.PWS.Facebook.15 sono applicazioni native Android, mentre Android.PWS.Facebook.17 e Android.PWS.Facebook.18 utilizzano il framework Flutter studiato per lo sviluppo multipiattaforma. Nonostante questo, possono essere considerate varianti dello stesso trojan in quanto utilizzano un formato di file di configurazione uguale e script JavaScript identici studiati per il furto di dati.

Le applicazioni erano completamente operative, una caratteristica doveva far rilassare la vigilanza delle potenziali vittime. Allo stesso tempo, per l'accesso a tutte le funzionalità, nonché per la presunta disattivazione della pubblicità, agli utenti veniva chiesto di effettuare il login al loro account Facebook. Alcuni programmi veramente contenevano annunci, e questo trucco aveva lo scopo di spingere ulteriormente i proprietari di dispositivi Android ad eseguire l'azione richiesta dai malintenzionati.

Alcuni programmi trojan dopo l'avvio si presentavano così:

Ed ecco come si vedeva il messaggio che suggeriva alle potenziali vittime di accedere all'account Facebook:

Se l'utente era d'accordo e faceva clic sul pulsante di login, vedeva un modulo standard di inserimento credenziali del social network, come mostrato nell'immagine seguente:

E il modulo visualizzato era quello vero. Fatto sta che i trojan impiegavano un meccanismo speciale per ingannare le loro vittime. Dopo aver ricevuto all'avvio le impostazioni necessarie da uno dei server di controllo, caricavano la pagina legittima del social network Facebook https://www.facebook.com/login.php in una WebView. Nella stessa WebView veniva caricato un JavaScript ottenuto dal server dei malintenzionati il quale intercettava i dati di autenticazione inseriti. Quindi, questo JavaScript, utilizzando i metodi forniti tramite l'annotazione JavascriptInterface, trasmetteva i login e le password rubati alle applicazioni trojan le quali in seguito li spedivano al server dei malintenzionati. Dopo l'accesso della vittima al suo account, i trojan rubavano in aggiunta i cookie della sessione di autenticazione corrente, i quali anche venivano inviati ai cybercriminali.

L'analisi di questi programmi malevoli ha mostrato che loro tutti ricevevano impostazioni studiate per rubare le credenziali di account Facebook. Tuttavia, i malintenzionati potevano modificare facilmente i loro parametri e comandare loro di caricare la pagina di qualche altro servizio legittimo o persino utilizzare un modulo di accesso completamente falso collocato su un sito di phishing. Dunque, i trojan potevano essere utilizzati per rubare login e password da qualsiasi servizio.

Il programma malevolo Android.PWS.Facebook.15, che è una variante precedente, è identico agli altri, ma contiene in aggiunta un output dati in un log in cinese, una caratteristica che può indicare la sua possibile origine.

L'aspetto esteriore del trojan Android.PWS.Facebook.15 ed esempi del suo output di dati in log:

L'azienda Doctor Web raccomanda ai proprietari di dispositivi Android di installare applicazioni solo da sviluppatori conosciuti e affidabili, nonché prestare attenzione ai commenti di altri utenti. I commenti non forniscono garanzia assoluta di sicurezza, ma possono dare segnali di una potenziale minaccia. Inoltre, bisogna prestare attenzione a quando e quali programmi chiedono di accedere all'account di qualsiasi servizio. Se si hanno dubbi sulla sicurezza delle azioni eseguite, si dovrebbe rifiutarsi di continuare e rimuovere il programma sospetto.

I prodotti antivirus Dr.Web per Android rilevano e rimuovono con successo tutte le varianti conosciute delle applicazioni trojan Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.15, Android.PWS.Facebook.17 ed Android.PWS.Facebook.18, pertanto loro non rappresentano un pericolo per i nostri utenti.

Indicatori di compromissione

Più informazioni su Android.PWS.Facebook.13

Più informazioni su Android.PWS.Facebook.14

Più informazioni su Android.PWS.Facebook.15

Più informazioni su Android.PWS.Facebook.17

Più informazioni su Android.PWS.Facebook.18

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

• Il primo antivirus russo per Android
• Oltre 140 milioni di download solo da Google Play
• Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis