Эксперты японской компании Trend Micro рассказали о присутствии трояна-похитителя информации Facestealer в 200 приложениях цифрового магазина Google Play Store. Некоторые из данных сервисов скачали более 100 тыс. раз.
Впервые официальное упоминание о Facestealer появилось в прошлогоднем отчете компании Dr.Web. Это шпионское ПО для Android-устройств, которое ворует логины и пароли учетных записей пользователей Facebook*. Похищенные данные злоумышленники использовали для компрометации аккаунтов в соцсети в целях фишинга, публикации недостоверной информации и запуска рекламных ботов. По данным Dr.Web, на июль 2021 года троян установили более 1 млн раз.
Подобно другому семейству вредоносного ПО — Joker — Facestealer часто изменяет код, создавая множество своих вариантов, отмечают в Trend Micro.
Эксперты рассказывают про фитнес-приложение Daily Fitness OL, которое разработано специально для кражи учетных записей в Facebook. После входа пользователя в свой Facebook-аккаунт ПО похищало cookie-файлы с устройства. Затем троян отправляет личную информацию на удаленный сервер.
Поддельное приложение Enjoy Photo Editor также похищает cookies. Отличительной особенностью софта является умение интегрировать украденные данные в собственный код, что затрудняет его обнаружение системами безопасности.
Исследователи обнаружили 40 приложений для майнинга. Псевдосервисы вынуждают пользователей приобретать платные услуги и кликать на рекламные объявления, заманивая перспективой заработка на криптовалюте. В приложении Cryptomining Farm Your own Coin аналитики Trend Micro не выявили рекламных объявлений и запросов на конфиденциальную информацию, однако в момент привязки криптокошелька пользователя просят ввести приватный ключ. Эксперты выяснили, что сервис собирает ключи, даже не шифруя их, а также похищает мнемонические фразы, которые нужны для восстановления доступа к криптокошельку.
Приложения с Facestealer маскируют под VPN- и фитнес-сервисы, софт для съёмки и редактирования фотографий. По мнению аналитиков, вредоносное ПО долгое время будет проблемой Play Market из-за проводимой Facebook политики управления cookie-файлами.
Эксперты рекомендуют просматривать отзывы о приложениях перед установкой. Они советуют пользователям проявлять большую осмотрительность к разработчикам и издателям приложений и не скачивать сервисы из сторонних источников.
Meta Platforms**, а также принадлежащие ей социальные сети Facebook* и Instagram*:
* запрещены в России
** признана экстремистской организацией, её деятельность в России запрещена
