App Android

Queste app Android rubano le credenziali di Facebook

Esperti di sicurezza online hanno scoperto 9 app sul Google Play Store che utilizzavano un metodo furtivo per impossessarsi delle credenziali Facebook degli utenti
Queste app Android rubano le credenziali di Facebook FASTWEB S.p.A.

Google ha eliminato nove app Android scaricate più di 5,8 milioni di volte dal Play Store dopo che un gruppo di ricercatori ha affermato che queste app utilizzavano un modo subdolo per rubare le credenziali di accesso a Facebook degli utenti.

Secondo un post pubblicato dalla società di sicurezza Dr. Web, tutte le app identificate hanno offerto agli utenti un'opzione per disabilitare gli annunci in-app accedendo ai propri account Facebook.

Gli utenti che hanno scelto l'opzione hanno visto un vero modulo di accesso a Facebook contenente campi per l'inserimento di nomi utente e password.

Quindi, come hanno scritto i ricercatori del Dr. Web:“Questi trojan usavano un meccanismo speciale per ingannare le loro vittime. Dopo aver ricevuto le impostazioni necessarie da uno dei server C&C all'avvio, hanno caricato la pagina Web legittima di Facebook (https://www.facebook.com/login.php) in WebView. Successivamente, hanno caricato JavaScript ricevuto dal server C&C nello stesso WebView. Questo script è stato utilizzato direttamente per dirottare le credenziali di accesso immesse. Successivamente, questo JavaScript, utilizzando i metodi forniti tramite l'annotazione JavascriptInterface, ha passato login e password rubati alle applicazioni trojan, che hanno quindi trasferito i dati al server C&C degli aggressori.

Dopo che la vittima effettuava l'accesso al proprio account, i trojan ne rubavano i cookie dalla sessione di autorizzazione corrente. Questi cookie venivano poi inviati anche a criminali informatici.

L'analisi dei programmi dannosi ha mostrato che tutti hanno ricevuto impostazioni per il furto di accessi e password degli account Facebook. Tuttavia, gli aggressori avrebbero potuto facilmente modificare le impostazioni dei trojan e comandare loro di caricare la pagina web di un altro servizio legittimo. Potrebbero anche aver utilizzato un modulo di accesso completamente falso situato su un sito di phishing. Pertanto, i trojan potrebbero essere stati utilizzati per rubare login e password da qualsiasi servizio”.

I ricercatori hanno identificato cinque varianti di malware nascoste all'interno delle app.

Tre di queste erano app Android native e le altre due utilizzavano il framework Flutter di Google, progettato per la compatibilità multipiattaforma. Dr. Web ha affermato che li classifica tutti come lo stesso trojan perché utilizzano formati di file di configurazione identici e codice JavaScript identico per rubare i dati dell'utente.

Dr. Web ha identificato le varianti come:

•    Android.PWS.Facebook.13
•    Android.PWS.Facebook.14
•    Android.PWS.Facebook.15
•    Android.PWS.Facebook.17
•    Android.PWS.Facebook.18

La maggior parte dei download riguardava un'app chiamata PIP Photo, a cui è stato effettuato l'accesso più di 5,8 milioni di volte. L'app con la successiva maggiore copertura è stata Processing Photo, con oltre 500.000 download. Queste le altre app:

•    Rubbish Cleaner: più di 100.000 download
•    Inwell Fitness: più di 100.000 download
•    Oroscopo giornaliero: più di 100.000 download
•    App Lock Keep: più di 50.000 download
•    Lockit Master: più di 5.000 download
•    Oroscopo Pi: 1.000 download
•    App Lock Manager: 10 download

Una ricerca su Google Play mostra che tutte le app sono ora state rimosse dallo Store. Un portavoce di Google ha affermato che la società ha anche bandito gli sviluppatori di tutte e nove le app dallo store, il che significa che non saranno autorizzati ad inviare nuove app. Questa è la cosa giusta da fare per Google, ma rappresenta comunque solo un ostacolo minimo per gli sviluppatori perché possono semplicemente registrarsi con un nuovo account sviluppatore con un nome diverso per una commissione una tantum di 25 dollari.

Chiunque abbia scaricato una delle app di cui sopra dovrebbe esaminare attentamente il proprio dispositivo e i propri account Facebook per eventuali segni di compromissione.

Anche il download di un'app antivirus Android e la scansione di ulteriori app dannose non è una cattiva idea. 
 

Fonte: arstechnica.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail