Google은 이러한 앱이 사용자의 Facebook 로그인 자격 증명을 훔친 것으로 밝혀진 후 Play 스토어에서 9개의 앱을 제거했습니다. 읽어.
Google은 이러한 앱이 사용자의 Facebook 로그인 자격 증명을 훔친 것으로 밝혀진 후 Play 스토어에서 9개의 앱을 제거했습니다. 모든 앱은 합법적인 서비스를 제공했으며 500만 번 이상 다운로드되었습니다.
처럼 보안 연구원이 밝혀낸 ~에 Dr.Web(경유 아르스테크니카), 이러한 악성 앱은 특별한 메커니즘을 사용하여 사용자를 속여 Facebook 자격 증명을 넘겨주었습니다. 해당 앱은 사용자의 Facebook 프로필을 연결하여 인앱 광고를 비활성화하도록 유도했습니다. 사용자가 자신의 프로필을 연결하려고 했을 때 Facebook 사용자 이름과 비밀번호를 입력하라는 실제 양식이 표시되었습니다. Android WebView 자체에 로드된 Facebook 페이지는 합법적이었습니다. 그러나 연구원들은 하이재커가 사용자 데이터를 훔치기 위해 동일한 WebView에 악성 JavaScript도 로드했다는 사실을 발견했습니다.
연구원으로서 닥터웹 설명하다:
이 스크립트는 입력된 로그인 자격 증명을 하이재킹하는 데 직접 사용되었습니다. 그 후, 이 JavaScript는 JavascriptInterface 주석을 통해 제공된 메소드를 사용하여 전달되었습니다. 트로이 목마 애플리케이션의 로그인 및 비밀번호를 훔친 후 데이터를 공격자의 C&C로 전송했습니다. 섬기는 사람. 피해자가 자신의 계정에 로그인한 후 트로이 목마는 현재 인증 세션에서 쿠키도 훔쳤습니다. 해당 쿠키는 사이버 범죄자에게도 전송되었습니다.
사용자의 Facebook 로그인 및 비밀번호를 훔친 9개 앱은 다음과 같습니다.
- PIP 사진(5,000,000+ 다운로드)
- 사진 처리(500,000+ 다운로드)
- 쓰레기 청소기 (100,000+ 다운로드)
- 인웰 피트니스 (100,000+ 다운로드)
- 일일 운세 (100,000+ 다운로드)
- 앱 잠금 유지(50,000+ 다운로드)
- Lockit Master (5,000+ 다운로드)
- 운세 Pi (1,000 다운로드)
- 앱 잠금 관리자(10 다운로드)
Dr. Web이 앱 내부에서 식별한 5가지 악성코드 변종은 다음과 같습니다.
- 기계적 인조 인간. PWS.페이스북.13
- 기계적 인조 인간. PWS.페이스북.14
- 기계적 인조 인간. PWS.페이스북.15
- 기계적 인조 인간. PWS.페이스북.17
- 기계적 인조 인간. PWS.페이스북.18
이후 Google은 Play 스토어에서 이러한 앱을 제거했으며 플랫폼에서 9개 앱의 게시자를 모두 금지하여 새로운 앱을 게시할 수 없도록 했습니다. Android 기기에 위에 나열된 앱을 설치한 경우 즉시 제거하세요. 또한 보다 안전한 보안을 위해 Facebook 비밀번호를 재설정하고 2단계 인증을 활성화하세요.