Android-Apps in Google Play ernten Facebook-Anmeldeinformationen

  • Die Apps verwendeten alle eine ungewöhnliche Taktik, indem sie eine legitime Facebook-Seite als Teil des Datendiebstahls luden.

    Eine Reihe von neun bösartigen Android-Apps, die Facebook-Anmeldeinformationen stehlen, wurden auf Google Play gefunden, die zusammen 5,9 Millionen Installationen erreichten, bevor Google sie entfernte.

    Laut den Malware-Analysten von Dr. Web waren die Anwendungen voll funktionsfähig, so dass die Opfer im Unklaren darüber blieben, dass sie Malware auf ihre Android-Geräte heruntergeladen hatten. Pop-ups informierten die Benutzer jedoch darüber, dass sie sich bei ihrem Facebook-Konto anmelden müssen, um auf alle Funktionen der Apps zuzugreifen und die In-App-Werbung zu deaktivieren. Sobald sie dies taten, wurden ihre Passwörter und Benutzernamen abgefangen.

    “Die Werbung in einigen der Apps war in der Tat vorhanden, und dieses Manöver sollte die Besitzer von Android-Geräten dazu bringen, die erforderlichen Aktionen durchzuführen”, so die Forscher in einem kürzlich veröffentlichten Beitrag.

    [Blocked Image: https://alltechnews.de/daten/2…nt-wieder-an-Relevanz.jpg]

    Die bösartigen Apps wurden als Trojaner mit den Namen Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.17 oder Android.PWS.Facebook.18 erkannt – allesamt leichte Variationen desselben Codes, so das Unternehmen.

    “Während die Android.PWS.Facebook.13 [and] Android.PWS.Facebook.14 … native Android-Apps sind, nutzen Android.PWS.Facebook.17 und Android.PWS.Facebook.18 das Flutter-Framework, das für die plattformübergreifende Entwicklung entwickelt wurde”, so die Forscher. “Trotzdem können sie alle als Modifikationen desselben Trojaners betrachtet werden, da sie identische Konfigurationsdateiformate und identische JavaScript-Skripte verwenden, um Benutzerdaten zu stehlen.”

    Sie sind: PIP Photo, ein Bildbearbeitungsprogramm vom Entwickler “Lillians” (5 Millionen Downloads) Processing Photo, eine Bildbearbeitungssoftware des Entwicklers “chikumburahamilton” (500.000+ Installationen) Rubbish Cleaner, ein Dienstprogramm zur Optimierung der Leistung von Android-Geräten, vom Entwickler “SNT.rbcl” (100.000 Installationen) Horoscope Daily vom Entwickler “HscopeDaily momo” (100.000+ Installationen) Inwell Fitness vom Entwickler “Reuben Germaine” (100.000+ Installationen) App Lock Keep, das Zugriffsbeschränkungen für verschiedene Apps ermöglicht, vom Entwickler “Sheralaw Rence” (50.000+ Installationen) Lockit Master (eine weitere App zur Zugriffsbeschränkung) des Entwicklers “Enali mchicolo” (5.000 Installationen) Horoscope Pi vom Entwickler “Talleyr Shauna” (1.000+ Installationen) App Lock Manager (eine weitere App zur Zugriffsbeschränkung) vom Entwickler “Implummet col” (10 Installationen)

    [Blocked Image: https://alltechnews.de/daten/2…-Anmeldeinformationen.png]

    Das Aussehen der Apps beim Start. Quelle: Dr. Web.

    “Der Hauptzweck dieser Aktivitäten ist natürlich das Abgreifen von Benutzernamen und Passwörtern für spätere Credential Stuffing-Angriffe”, so David Stewart, CEO bei Approov, per E-Mail. “Was alle Unternehmen tun können, um sich und ihre Benutzer vor solchen Angriffen zu schützen, ist sicherzustellen, dass die Anmeldedaten der Benutzer allein nicht ausreichen, um sich bei Konten anzumelden. Die Vorschrift, dass ein unabhängig verifizierter zweiter Faktor wie ein einmaliger Passcode oder ein App-Authentifizierungstoken neben den Benutzeranmeldedaten vorgelegt werden muss, wird die Angriffsfläche drastisch verringern.”

    Legitimes Facebook-Login und WebView

    Der Mechanismus, mit dem das Credential-Harvesting durchgeführt wurde, ist interessant, da er eine legitime Facebook-Seite nutzte, wie die Forscher herausfanden ((https://www.facebook.com/login.php).

    [Blocked Image: https://alltechnews.de/daten/2…-Anmeldeinformationen.png]

    Quelle: Dr. Web.

    “Das angezeigte Formular war echt”, heißt es in dem Posting. “Diese Trojaner nutzten einen speziellen Mechanismus, um ihre Opfer auszutricksen. Nachdem sie beim Start die notwendigen Einstellungen von einem der Command-and-Control-Server (C2) erhalten hatten, luden sie die legitime Facebook-Webseite in WebView. Als nächstes luden sie ein vom C2-Server erhaltenes JavaScript in dieselbe WebView. Dieses Skript wurde direkt verwendet, um die eingegebenen Anmeldedaten zu ergaunern.”

    Danach schickte das JavaScript die gestohlenen Anmeldedaten an die Anwendungen, die sie wiederum an den C2-Server der Angreifer schickten.

    Die Trojaner stahlen auch Cookies aus der aktuellen Autorisierungssitzung, sobald sich der Benutzer bei Facebook angemeldet hatte, fügten die Analysten hinzu.

    Die Analyse der Schadprogramme zeigte, dass sie zwar so gebaut sind, dass sie sich auf Facebook-Konten auswirken, aber die Angreifer hätten auch größer vorgehen können.

    “Die Angreifer hätten die Einstellungen der Trojaner leicht ändern und ihnen befehlen können, die Webseite eines anderen legitimen Dienstes zu laden”, so die Forscher. “Sie hätten sogar ein komplett gefälschtes Anmeldeformular verwenden können, das sich auf einer Phishing-Seite befindet. So hätten die Trojaner verwendet werden können, um Logins und Passwörter von jedem beliebigen Dienst zu stehlen.”

    Um sich zu schützen, sollten Anwender darauf achten, wann und welche Apps sie auffordern, sich in andere Konten einzuloggen. Außerdem sollten sie sich die Bewertungen für jede App, die sie herunterladen, ansehen und den Entwickler auf Legitimität überprüfen, so Dr. Web.

    “Die Bewertungen können keine absolute Garantie dafür geben, dass die Apps harmlos sind, aber sie können Sie dennoch vor potenziellen Bedrohungen warnen”, empfiehlt die Firma.

    Bösartige Google Play Apps

    Benutzer sollten auch bedenken, dass der offizielle Google Play Store kein Unbekannter für bösartige Apps ist. Im März wurde beispielsweise ein noch nie dagewesener Malware-Dropper, Clast82, in Android-Apps versteckt gefunden, der die Malware AlienBot und MRAT holte, um die Finanzdaten der Opfer zu stehlen. Der Dropper mit dem Namen Clast82 war in gutartigen Apps getarnt, die erst nach einer Überprüfung und Freigabe durch Google Play Protect eine bösartige Nutzlast abrufen.

    Dann ist da noch der Joker-Trojaner, der sich immer wieder in Google Play einschleicht. Joker ist seit 2017 im Umlauf und führt Fleeceware-Operationen durch: Diese Apps preisen sich als Spiele, Wallpaper, Messenger, Übersetzer und Foto-Editoren an, doch einmal installiert, simulieren sie Klicks und fangen SMS-Nachrichten ab, um die Opfer für unerwünschte, kostenpflichtige Premium-Dienste zu abonnieren. Im September fanden Forscher von Zscaler 17 verschiedene Samples von Joker, die regelmäßig auf Google Play hochgeladen wurden.

    “Die unkontrollierte Verbreitung mobiler Trojaner-Apps im Google Play Store führt weiterhin zum Diebstahl von Anmeldedaten und anderen personenbezogenen Daten (PII) von Verbrauchern”, so Rajiv Pimplaskar, CRO bei Veridium, per E-Mail. “Während mehrere Ursachen identifiziert werden können, ist ein Kernproblem die übermäßige Abhängigkeit der Softwareindustrie von Passwörtern, die die Ursache für über 80 Prozent der Datenschutzverletzungen und Ransomware-Angriffe weltweit sind.”

    Schauen Sie sich unsere kommenden kostenlosen Live- und On-Demand-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com