情境示意圖,圖片來源/Solen Feyissa on unsplash

Doctor Web於上周警告,該公司在Google Play上偵測到9款專門用來竊取使用者臉書憑證的行動程式,相關程式的總下載量超過580萬次。Google在收到通知之後,已將它們移除。

這9款程式分別是PIP Photo、Processing Photo、Rubbish Cleaner、Inwell Fitness、Horoscope Daily、App Lock Keep、Lockit Master、Horoscope Pi與App Lock Manager。其中,照片編輯程式PIP Photo的下載量超過500萬次,Processing Photo的下載量為50萬次,占星程式Horoscope Daily也有逾10萬下載量。

圖片來源_Doctor Web

根據Doctor Web的分析,這些程式所夾帶的惡意功能,全都是由同一個木馬程式所改寫,採用同樣的配置文件格式,也利用同樣的JavaScript腳本程式來竊取使用者的資料,同時它們的目的也是一致的:竊取用戶的臉書憑證。

這些程式的功能都是完整的,執行之後也可以正常操作,但它們會跳出提示,要求使用者若是要存取全部的功能,或者是關閉程式中的廣告,可先登入臉書帳號來啟用。繼之程式會藉由WebView載入一個合法的臉書登入頁面,卻也透過C&C伺服器傳送一個JavaScript腳本程式到同一個WebView上,以用來挾持使用者所輸入的憑證,並將它們傳回C&C伺服器。

圖片來源_Doctor Web

Doctor Web指出,雖然這次這些程式所嵌入的木馬程式皆是用來竊取臉書憑證,但只要更改設定就能用來竊取任何服務的憑證,此外,就算它們已被Google移除,還是可能出現在第三方的Android程式市集,呼籲使用者先行檢查自己的裝置是否安裝了相關的程式,以將它們移除,且不管是自Google Play或第三方市集下載程式,都應該選擇可靠的開發者,並瀏覽已安裝用戶的評論。


熱門新聞

Advertisement