2/3/18

FakeApp ονομάζεται η εφαρμογή για Android που κλέβει τους κωδικούς του Facebook



Ένα νέο στέλεχος malware για Android συσκευές έκανε την εμφάνισή του την προηγούμενη εβδομάδα και εφιστούμε την ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ.

Με τη μέθοδο του Phising, η εφαρμογή συλλέγει το όνομα χρήστη και τον κωδικό ασφαλείας του θύματός του, και άμεσα συνδέεται στον λογαριασμό του Facebook που υπέκλεψε από την ίδια συσκευή, αυτήν του θύματος, ενώ εντύπωση προκαλεί το γεγονός ότι μπορεί να χρησιμοποιήσει, αυτοματοποιημένα, ακόμα και τη λειτουργία αναζήτησης της πραγματικής εφαρμογής του Facebook!

Ονομάζεται FakeApp και εντοπίστηκε από ομάδα ερευνητών της Symantec. Η Symantec λέει ότι η εφαρμογή διανέμεται μέσα από κακόβουλες εφαρμογές που διανέμονται από αντίστοιχες ιστοσελίδες ή μέσα από άλλες εφαρμογές, παρουσιάζοντάς το FakeApp ως την legit εφαρμογή του Facebook.

Παρόλο που η εφαρμογή είναι στα αγγλικά, η Symantec αναφέρει ότι τα περισσότερα θύματα είναι στην περιοχή της Ασίας.


Χρησιμοποιεί ψεύτικη οθόνη login για να "ψαρέψει" τα συνθηματικά του χρήστη

Οι εφαρμογές που είναι μολυσμένες με το FakeApp δεν εμφανίζονται στην αρχική οθόνη του κινητού, αλλά ξεκινούν στο παρασκήνιο διεργασία η οποία ευθύνεται για την εκκίνηση της ψεύτικης οθόνης εισόδου στο Facebook. Η οθόνη αυτή εμφανίζεται σε τακτά χρονικά διαστήματα, μόνη της, μέχρι ο χρήστης να εισάγει το όνομα χρήστη και τον κωδικό πρόσβασης για τη δημοφιλή πλατφόρμα κοινωνικής δικτύωσης.

Στο σημείο αυτό είναι που η εφαρμογή κάνει τη διαφορά.

Μόλις το θύμα πληκτρολογήσει το όνομα χρήστη και τον κωδικό πρόσβασης, η εφαρμογή αφενός στέλνει τα στοιχεία αυτά στο server του επιτιθέμενου, αφετέρου τα χρησιμοποιεί για να κάνει άμεσα σύνδεση στο λογαριασμό facebook του θύματος. Η διαδικασία αυτή γίνεται αυτοματοποιημένα. 



Πώς λειτουργεί

Η εφαρμογή ξεκινάει ένα παράθυρο WebView το οποίο και το κάνει εντελώς διαφανές, τοποθετώντας alpha transparency = 0.01f - σχεδόν μηδέν.

Στη συνέχεια φορτώνει την οθόνη εισόδου στο Facebook και τοποθετεί τα στοιχεία εισόδου που πριν λίγο είχε υποκλέψει.

Αν και η Symantec δεν εξήγησε γιατί να γίνεται αυτό, πιστεύουμε ότι ο λόγος που οι επιτιθέμενοι κάνουν είσοδο στο Facebook από την ίδια συσκευή και όχι από κάποια άλλη, είναι για να αποφύγουν τα μέτρα ασφαλείας του Facebook που ενημερώνουν με μήνυμα αν εντοπιστεί είσοδος στην εφαρμογή από κάποια ξένη IP ή άγνωστο μέχρι στιγμής Η/Υ.

Χρησιμοποιώντας την ίδια συσκευή, ο επιτιθέμενος παρακάμπτει αυτό το πρόβλημα.

Σε αυτό το σημείο το FakeApp συλλέγει πληροφορίες από το προφιλ του θύματος, όπως τα στοιχεία εκπαίδευσης, εργασίας, τις επαφές, το βιογραφικό, στοιχεία οικογένειας, γεγονότα, "Μου αρέσει", γκρουπς, ποσταρίσματα, σελίδες κλπ. Με άλλα λόγια, συλλέγει ολόκληρη τη δραστηριότητα του θύματος.


Symantec: Είναι υψηλής ευφυΐας

"Η λειτουργία μέσω της οποίας σκανάρει όλο το Facebook προφιλ και συλλέγει πληροφορίες μας έχει εκπλήξει με την ιδιαιτερότητα και την ευφυΐα της", δήλωσαν ο Martin Zhang και ο Shaun Aimoto, οι δύο ερευνητές της Symantec που ανέλυσαν το FakeApp. 

"Η λειτουργία της χρήσης της αναζήτησης του Facebook με αυτοματοποιημένο τρόπο μας προκάλεσε επίσης έκπληξη", δήλωσαν

"Επιπροσθέτως, χρησιμοποιεί εντολές Ajax προκειμένου να συλλέξει πληροφορίες που υπό άλλες συνθήκες δεν θα ήταν δυνατόν, γιατί τα αποτελέσματα αυτά είναι δυναμικά" συμπλήρωσαν οι ερευνητές της Symantec. 

Να πούμε, τέλος, ότι τέτοιου είδους τεχνική και συμπεριφορά δεν έχουμε συναντήσει σε άλλα malware για Android συσκευές. Είναι πολύ περίεργο που το FakeApp δεν επιδιώκει σε κάποιο σημείο του το κέρδος, αφού δεν χρησιμοποιεί ransom ή extort τεχνικές.
Πιθανώς, ο σκοπός να είναι η δημιουργία βάσης δεδομένων χρηστών, αναλύοντας την οποία να μπορέσουν να εντοπίσουν κάποιο άτομο που θα τους κινήσει το ενδιαφέρον...

Σε κάθε περίπτωση εφιστούμε την προσοχή σε όλους. 
Κατεβάζετε εφαρμογές μόνο από έμπιστες πηγές (πχ. Play Store) και όχι από τρίτες σελίδες. 




Ευχαριστούμε την BleepingComputer για την παροχή υλικού.