Fakeapp
O nouă tulpină de malware Android poate să scaneze datele de conectare ale utilizatorilor Facebook și apoi să vă conectați la conturi pentru a recupera detaliile contului și chiar să căutați și să colectați rezultate folosind funcția de căutare a aplicației Facebook.
Numit Fakeapp, această nouă tulpină malware a fost detectată la începutul acestei luni de către cercetătorii Symantec. Symantec afirmă că aplicația este distribuită în prezent în aplicații rău intenționate, puse la dispoziția utilizatorilor de limbă engleză în alte magazine de aplicații.
Aplicațiile infectate cu malware-ul Fakeapp se vor ascunde imediat de ecranul de pornire al telefonului, însă pornesc un serviciu care rulează în fundal.
Acest serviciu este responsabil pentru pornirea unei interfețe de utilizator de autentificare Facebook falsificate pentru a fura acreditările utilizatorilor. Fakeapp afișează periodic acest ecran de conectare (imaginea de mai sus) până când utilizatorii își introduc acreditările Facebook.
Fakeapp este diferit de toți troianii anteriori de furt de informații despre Android. Pe lângă trimiterea acreditărilor Facebook colectate la serverul atacatorului, malware-ul utilizează imediat aceste acreditări pe dispozitivul victimei.
Fakeapp pornește o fereastră WebView (WebView este o aplicație de browser mobil dezbrăcată) și face această fereastră aproape în întregime transparentă cu o valoare a ferestrei alfa-transparență de “0.01f” – lângă 0.
Se încarcă apoi pagina de conectare Facebook și accesează contul utilizatorului. În timp ce Symantec nu a explicat de ce se întâmplă acest lucru, credem că atacatorii încearcă să evite măsurile de securitate Facebook care avertizează utilizatorii atunci când cineva încearcă să acceseze un cont dintr-o nouă adresă IP. Prin conectarea la același telefon, atacatorul folosește IP-ul normal al victimei.
Odată ce ați făcut un cont, malware-ul nu pare să facă nimic intrusiv în comparație cu alte tulpini malware despre care se știe că vă place conținutul și postarea de spam.
În schimb, Fakeapp doar colectează detaliile contului utilizatorului, cum ar fi informații despre educație, muncă, contacte, bio, familie, relații, evenimente, grupuri, plăceri, postări, pagini etc.
“Funcționalitatea care accesează cu crawlere pagina Facebook are un nivel surprinzător de sofisticare”, au spus Martin Zhang și Shaun Aimoto, cei doi cercetători Symantec care au analizat Fakeapp.
“Dispozitivul crawler are capacitatea de a utiliza funcția de căutare pe Facebook și de a colecta rezultatele”, spun specialistii Symantec . “În plus, pentru a recolta informații care sunt afișate folosind tehnici dinamice pe web, crawlerul va defila pagina și va trage conținut prin intermediul apelurilor Ajax.”
Un astfel de comportament nu a fost observat niciodată în malware-ul Android. De asemenea, este foarte ciudat că malware-ul Android nu efectuează nici o operațiune de bani. Acest lucru poate sugera că această aplicație ar putea fi spyware, dezvoltată pentru a construi o bază de date a utilizatorilor pentru a identifica eventual persoane de interes deosebit pentru atacator.
Sursa: www.bleepingcomputer.com