Trojanizirana aplikacija Craftsart Cartoon Photo Tools dostupna je u službenoj trgovini Android aplikacija Play Store, ali zapravo je riječ o špijunskom softveru koji može ukrasti sve informacije s korisničkih računa na društvenim mrežama žrtava.
Navedena aplikacija dosad je prikupila više od 100.000 instalacija, ali na žalost njezinih korisnika, sadrži verziju zlonamjernog softvera Facestealer Android.
Stručnjaci iz francuske tvrtke za kibernetičku sigurnost Pradeo kažu da aplikacija radi donekle kao što se navodi u njezinom opisu, pretvarajući se da je legitiman alat za uređivanje fotografija. Aplikacija tvrdi da omogućuje korisnicima pretvaranje fotografija u crtiće ili "umjetničke slike" koristeći nekoliko različitih filtera. Međutim, iza te maske krije se mali komad zlonamjernog koda koji lako prođe ispod radara zaštitnih mjera trgovine Play, objasnili su iz Pradea.
Facestealer je poznati zlonamjerni softver na Androidu koji se u prošlosti probijao na Google Play putem trojaniziranih aplikacija (aplikacija koje u sebi sadrže trojanski virus).
Prema prethodnoj analizi Malwarebytesa, kad se navedena aplikacija prvi put pokrene, ona vodi korisnika na legitimnu glavnu Facebook stranicu za prijavu i traži od korisnika da se prijave prije nego što mogu koristiti aplikaciju. Zatim usađeni zlonamjerni JavaScript kod krade vjerodajnice za prijavu i šalje ih na poslužitelj za naredbe i kontrolu, tvrde stručnjaci iz Malwarebytesa. Poslužitelj tad koristi vjerodajnice za prijavu za autorizaciju pristupa računu žrtve, dodaju.
Odatle trojanac kreće s krađom podataka: podiže informacije s Facebook računa žrtava, uključujući adrese e-pošte i IP adrese, telefonske brojeve, povijest razgovora i poruka, podatke o kreditnim karticama, popise prijatelja i još mnogo toga.
Kada su vaše vjerodajnice za prijavu na račun na društvenim mrežama ukradene, to može imati ozbiljne posljedice. To daje kibernetičkim kriminalcima bazu iz koje mogu prikupiti više informacija, objasnili su stručnjaci iz Pradea.
Kibernetički kriminalci koriste vjerodajnice na Facebooku za kompromitaciju računa na više načina, a najčešći su financijske prijevare, slanje veza za krađu identiteta te širenje lažnih vijesti, kažu nadalje iz Pradea.
Ruski korijeni
Pradeo analiza zloćudne aplikacije Craftsart Cartoon Photo Tools otkrila je i da se ta aplikacija povezuje s domenom registriranom u Rusiji, koja se koristi najmanje sedam godina kao adresa za naredbu i kontrolu (C2) za razne zlonamjerne Android aplikacije.
Domena je povezana s više zlonamjernih mobilnih aplikacija koje su u nekim trenucima bile dostupne na Google Playu, a kasnije izbrisane. Kako bi zadržali prisutnost na Google Playu, prepakiranje mobilnih aplikacija uobičajena je praksa za kibernetičke kriminalce. Ponekad smo čak primijetili slučajeve u kojima je prepakiranje bilo potpuno automatizirano, objašnjavaju iz Pradea.
Ističu i da su upozorili tim Google Playa na navedenu aplikaciju, no ona je u ponedjeljak još uvijek bila dostupna u službenoj Googleovoj trgovini mobilnih aplikacija. Korisnici koji je imaju bi, međutim, trebali odmah izbrisati tu aplikaciju sa svojih telefona.
Izbjegavanje zlonamjernog softvera u trgovini Play
Tvrtka Kaspersky je u objavi u veljači primijetila da se zlonamjerni softver sve više pojavljuje u Google Play trgovini, koristeći istu taktiku koju koristi navedena aplikacija Craftsart Cartoon Photo Tools.
Najčešći način uvlačenja zlonamjernog softvera na Google Play jest da trojanac oponaša legitimnu aplikaciju koja je već objavljena (na primjer, uređivač fotografija ili VPN usluga) uz dodatak malog dijela koda za dešifriranje i pokretanje trojanca ili ga preuzima sa servera napadača, objasnili su stručnjaci iz tvrtke Kaspersky.
Često, kako bi se zakomplicirala dinamička analiza, akcije raspakiranja se izvode putem naredbi s napadačkog servera, i to u nekoliko koraka: svaki dešifrirani modul sadrži adresu sljedećeg plus upute za njegovo dešifriranje, dodali su.
Stoga bi korisnik uvijek trebao biti oprezan s bilo kojom aplikacijom sa znakovima upozorenja. U slučaju ranije navedene aplikacije, iako je aplikacija uspjela privući veliki broj instalacija, u recenzijama postoje određene crvene zastavice upozorenja.
Neki su korisnici tako označili prisilnu prijavu na Facebook, komentirajući da se radi o nekoj vrsti krađe identiteta. Drugi komentari uključivali su poruke lažno, lažno, lažno i iznimno lošu aplikaciju, koji sažimaju ukupne reakcije recenzenata. Također, neki su primijetili da je funkcionalnost za koju aplikacija tvrdi da je ograničena ili nepostojeća uvijek znak da se klonite takve aplikacije.
Sve u svemu, Craftsart Cartoon Photo Tools ima ocjenu od jedva 2,1 zvjezdice u trgovini Play, pri čemu je većina recenzija ocjena s jednom zvjezdicom, "uravnotežena" s nekoliko očito lažnih recenzija s pet zvjezdica. Ne postoje ocjene s dvije, tri ili četiri zvjezdice, što jasno govori o kakvoj je zapravo aplikaciji riječ.
Izvor: Threat Post