Opprenskningen i de store app-butikkene er et vedvarende arbeid, og nå har et sikkerhetsforskere gjort nye funn av apper med ondsinnede intensjoner i Google Play.
Trend Micro rapporterer at de har avdekket over 200 Android-applikasjoner som stjeler sensitive brukerdata – først og fremst påloggingsinformasjon til Facebook-kontoer og private nøkler til kryptovaluta. Noen av appene har blitt lastet ned over hundre tusen ganger.
Facestealer
De aktuelle appene inneholder en spionprogramvare kalt «Facestealer» og ble først omtalt av antivirusselskapet Dr. Web for et års tid siden.
_logo.svg.png){kind=logo}
På overflaten har de Facestealer-infiserte appene legitim funksjonalitet og utgir seg gjerne for å være rene verktøysapplikasjoner i kategorier som trening, bilderedigering, VPN-tjenester og en rekke andre. Noen av de mest fremtredende appene som sikkerhetsselskapet identifiserte heter Daily Fitness OL, Enjoy Photo Editor, Panorama Camera, Photo Gaming Puzzle og Swarm Photo.
Ifølge Trend Micro fungerer appene ved å laste inn i det offisielle innloggingsvinduet til Facebook via Webview, en komponent som brukes av Android-apper til å vise webinnhold. Deretter lastes ondsinnet Javascript-kode inn i det samme Webview-vinduet via kommandoer fra C&C-serveren (command and control).
I stadig endring
Denne koden brukes så til å avskjære innloggingsinformasjonen og videresende den til C&C-serveren. Etter at brukeren har logget inn på kontoen, samler appen inn informasjonskapselen (cookie) og krypterer all personlig, identifiserbar informasjon før den sendes til serveren.
Trend Micro påpeker at Facestealer-koden er i stadig endring, noe som har ført til at den nå finnes i flere ulike varianter og er vrien å oppdage. Det øker også faren for at den vil fortsette å spre seg på Google Play via andre apper.
Som Dr. Web bemerket i sin omtale av programvaren i 2021 er det også fullt mulig for bakmennene å endre programvarens funksjonalitet på en slik måte at den kan brukes til å laste inn innloggingsvinduet til en hvilken som helst tjeneste – ikke bare Facebook. Dermed kan altså brukernavn og passord fra en lang rekke tjenester på nettet potensielt bli kompromittert.
Google skal ha fjernet de ondsinnede appene som Trend Micro oppdaget, men sikkerhetsselskapet sier at apper av denne typen sannsynligvis vil fortsette å være en plage i appbutikken.
Ondsinnede kryptoapper
Dette er imidlertid ikke den eneste trusselen Trend Micro omtaler i sin «vårrengjøring» av Google Play. Selskapet oppdaget også mer enn 40 applikasjoner som utga seg for å være kryptomining-apper, men som er designet for å stjele krypteringsnøkler.
Disse appene fungerer ved å lokke brukere med lukrative kryptoutvinningsløsninger, og tar brukerne til en nettside som ber om den private nøkkelen for å tilkoble vedkommende sin lommebok. Nettsiden laster imidlertid nøkkelen opp til en server kontrollert av bakmennene.
I tillegg til nøklene stjeler de ondsinnede kryptoappene også såkalte mnemoniske fraser. Dette er serie av ord som genereres når en kryptolommebok opprettes, og som brukes til å gjenopprette kryptovaluta dersom brukerens lommebok mistes eller skades.
Ifølge Trend Micro lastes både de private nøklene og frasene opp til serverne i klartekst, altså ukryptert.
Mer informasjon om funnene finner du i sikkerhetsselskapets egen rapport.
Disse Google Play-appene stjeler bankdata – har flere hundre tusen nedlastninger
