Nove app Android scaricate più di 5,8 milioni di volte dal Google Play Store utilizzavano in realtà un modo subdolo per rubare le credenziali di accesso di Facebook degli utenti: a scoprirlo sono stati alcuni ricercatori della società di sicurezza Dr. Web.
Nel tentativo di conquistare la fiducia degli utenti e indurli ad abbassare la guardia, le app fornivano servizi pienamente funzionanti per il fotoritocco, l’esercizio e la formazione, gli oroscopi e la rimozione di file spazzatura dai dispositivi Android e offrivano agli utenti un’opzione per disabilitare le inserzioni in-app accedendo ai loro account Facebook.
Poi, come hanno scritto i ricercatori del Dr. Web, Questi trojan hanno usato un meccanismo speciale per ingannare le loro vittime. Dopo aver ricevuto le impostazioni necessarie da uno dei server al momento dell’avvio, caricavano la pagina web ufficiale di Facebook e, successivamente, uno script utilizzato direttamente per dirottare le credenziali di accesso inserite, che venivano trasferite sui server degli aggressori. Dopo che la vittima effettuava l’accesso al proprio account, i trojan infine rubavano anche i cookie dalla sessione di autorizzazione corrente.
L’analisi dei programmi dannosi ha mostrato che tutti hanno ricevuto impostazioni per rubare accessi e password degli account Facebook. Tuttavia, gli aggressori avrebbero potuto facilmente cambiare le impostazioni dei trojan e comandato loro di caricare la pagina web di un altro servizio legittimo. Avrebbero anche potuto utilizzare un modulo di accesso completamente falso situato su un sito di phishing. Pertanto, i trojan avrebbero potuto essere utilizzati per rubare accessi e password da qualsiasi servizio.
La maggior parte dei download ha riguardato un’app chiamata PIP Photo, a cui si è avuto accesso più di 5,8 milioni di volte. L’app con la successiva maggiore portata è stata Processing Photo, con oltre 500.000 download. Le altre app erano Rubbish Cleaner, Inwell Fitness, Horoscope Daily, App Lock Keep, Lockit Master, Horoscope Pi e App Lock Manager.
Una ricerca di Google Play mostra che tutte le app sono state rimosse. Un portavoce di Google ha detto che la società ha anche bandito gli sviluppatori di tutte e nove le app dallo store, il che significa che non saranno autorizzati a inviare nuove app. Chiunque abbia scaricato una delle app di cui sopra dovrebbe anzitutto disinstallarla e poi esaminare a fondo il proprio dispositivo e i propri account Facebook in cerca di eventuali segni di manomissione.