Приложения были полнофункциональными, поэтому не вызывали у жертв никаких подозрений.
https://www.securitylab.ru/upload/ib...9dc83fd998.jpg
Компания Google удалила из Play Store девять Android-приложений, в общей сложности загруженных 5,8 млн раз, которые, как оказалось, похищали учетные данные пользователей для авторизации в Facebook.
Как пояснили исследователи компании «Доктор Веб», приложения были полнофункциональными, поэтому не вызывали у жертв никаких подозрений. Более того, для того чтобы получить доступ ко всем функциям и отключить рекламу, пользователи должны были авторизоваться в Facebook. Реклама в приложении действительно присутствовала, и желание ее отключить побуждало пользователей к дальнейшим действиям.
Вредоносные приложения маскировались под фоторедакторы, оптимизаторы, фитнесс-приложения, астрологические прогнозы. Они перехватывали вводимые пользователями учетные данные для авторизации в Facebook с помощью JavaScript-кода, получаемого с подконтрольного злоумышленникам сервера. На последнем этапе атаки похищенные данные отправлялись на сервер злоумышленников.
Список вредоносных приложений:
<ul><li>PIP Photo (&gt;5 млн загрузок);</li>
</ul><ul><li>Processing Photo (&gt;500 тыс. загрузок);</li>
</ul><ul><li>Rubbish Cleaner (&gt;100 тыс. загрузок);</li>
</ul><ul><li>Horoscope Daily (&gt;100 тыс. загрузок);</li>
</ul><ul><li>Inwell Fitness (&gt;100 тыс. загрузок);</li>
</ul><ul><li>App Lock Keep (&gt;50 тыс. загрузок);</li>
</ul><ul><li>Lockit Master (&gt;5 тыс. загрузок);</li>
</ul><ul><li>Horoscope Pi (&gt;1 тыс. загрузок);</li>
</ul><ul><li>App Lock Manager (10 загрузок).</li>
</ul>Хотя эта конкретная кампания нацелена только на учетные записи Facebook, исследователи предупредили, что ее можно легко расширить для похищения логинов и паролей любой другой платформы или сервиса.