Spyware genaamd Facestealer infecteert 100.000+ Google Play-gebruikers
Pradeo heeft een kwaadaardige mobiele applicatie gedetecteerd die momenteel wordt verspreid op Google Play en is geïnstalleerd door meer dan 100.000 gebruikers.
De applicatie Craftsart Cartoon bevat een Android-trojan genaamd Facestealer die social engineering gebruikt om Facebook-inloggegevens te stelen en verbindingen maakt met een Russische server. De Cybercriminelen die gebruikmaken van deze spyware hebben volledige toegang tot de Facebook-accounts van slachtoffers en alle gegevens die ze bevatten. Zoals creditcardgegevens, gesprekken, zoekopdrachten, enz. (zie volledige lijst)
Pradeo heeft het Google Play-team op de hoogte gebracht van hun ontdekking en ze adviseren gebruikers van deze app om deze onmiddellijk te verwijderen. Na communicatie met het Google Play-team is de applicatie op 22 maart eindelijk uit de Google Play store verwijderd.
Het betreft de volgende App:
- Application’s ID: Craftsart Cartoon (Foto Gereedschap)
- https://play.google.com/store/apps/details?id=com.craftstoon.cartoonphoto
- craftstoon.cartoonphoto
- Versie 1.0.1
- 100.000+ installaties
Een truc om malware in App stores te brengen
De bovengenoemde mobiele applicatie werd gedistribueerd via Google Play en App Stores van derden. Om een groot publiek te bereiken en zijn illegale activiteiten te verbergen, bootst de App het gedrag van populaire legitieme fotobewerkingsprogramma’s na. In feite is het geïnjecteerd met een Spyware genaamd Facestealer. Een klein stukje code dat gemakkelijk onder de radar van de beveiliging van een App Store glipt.
Verzameling van inloggegevens om Facebook-accounts te compromitteren
Zodra gebruikers de applicatie starten, wordt een Facebook-inlogpagina geopend en kunnen ze de applicatie niet gebruiken als ze niet inloggen. Wanneer ze dat doen, worden hun gebruikersnaam en wachtwoord automatisch doorgegeven aan cybercriminelen die eigenaar zijn van de applicatie.
Facebook-inloggegevens worden door cybercriminelen gebruikt om accounts op meerdere manieren te compromitteren. De meest voorkomende is om financiële fraude te plegen, phishing-links te verzenden en nepnieuws te verspreiden.
Verbindingen met een Russisch domein
De applicatie Craftsart Cartoon Photo Tools maakt verbindingen met een in Rusland geregistreerd domein. Uit onderzoek van Pradeo blijkt dat dit domein al 7 jaar wisselend wordt gebruikt. Het is dan verbonden met meerdere kwaadaardige mobiele applicaties die op sommige momenten beschikbaar waren op Google Play en later weer zijn verwijderd. Om aanwezig te blijven op Google Play, is het opnieuw verpakken van mobiele apps een gangbare praktijk voor cybercriminelen. Soms zag Pradeo zelfs gevallen waarin het ompakken volledig geautomatiseerd was.
Beoordelingen achtergelaten door gebruikers van Craftsart Cartoon Photo Tools
Bron: Pradeo