ГИС

Ворующее пароли вредоносное ПО заразило более 100 000 пользователей через Google Play Store

23.03.2022
Ворующее пароли вредоносное ПО заразило более 100 000 пользователей через Google Play Store

ИБ-специалисты из компании Pradeo обнаружили в официальном магазине приложений Google Play Store малварь, ворующую пользовательские пароли. Вредонос маскируется под приложение Craftsart Cartoon Photo Tools и был установлен более 100 000 раз, пишет Хакер.

Опасное приложение предлагало пользователям загружать свои фото и другие изображения, чтобы визуально стилизовать их под мультяшную графику. На самом деле Craftsart Cartoon Photo Tools содержит троян FaceStealer, который отображает экран входа в Facebook (запрещена в РФ) и требует от пользователей войти в учетную запись перед началом работы.

Если пользователь не замечает подвоха и действительно вводит свои логин и пароль, приложение отправляет их на управляющий сервер злоумышленников на zutuu[.]info (VirusTotal). Кроме того, малварь связывается с URL-адресом на www.dozenorms[.]club (VirusTotal), куда передает дополнительные данные о системе. Этот адрес ранее уже использовался для работы других вредоносных приложений, содержащих FaceStealer.

После ввода учетных данных Facebook (запрещена в РФ), не происходит ничего интересного: приложение попросту  загружает пользовательское изображение в онлайн-редактор color.photofuneditor.com, который применяет к нему нужный графический фильтр. Полученный результат будет отображаться в приложении, его можно скачать или отправить друзьям.

По данным аналитиков Pradeo, автор приложения, похоже, автоматизировал процесс переупаковки и внедрил лишь небольшой фрагмент вредоносного кода в легитимное приложение. Эти ухищрения помогли ему обойти процедуру проверки в Google Play Store.

Исследователи предупреждают, что пока Craftsart Cartoon Photo Tools еще доступно в магазине приложений, и советуют почаще обращать внимание на отзывы других пользователей перед загрузкой. Так, малварь имеет всего 1,7 звезды из пяти возможных, а в отзывах многие предупреждают, что приложение имеет ограниченную функциональность и требует входа через Facebook (запрещена в РФ).