Приложения были оснащены легитимным функционалом, но также содержали вредоносный код.
https://www.securitylab.ru/upload/ib...539b9b5eaf.jpg
В текущем месяце компания Google удалила из Play Store 25 Android-приложений, похищавших учетные данные пользователей Facebook. На момент удаления приложения были в общей сложности скачаны 2,34 млн раз.
Создателем всех 25 приложений является одна и та же киберпреступная группировка. Несмотря на то, что программы предлагали пользователям разные функции, на самом деле работали они одинаково. Согласно отчету французской ИБ-компании Evina, полученному журналистами ZDNet, киберпреступники выдавали свои программы за шагомеры, фото- и видеоредакторы, фонарики, файловые менеджеры и мобильные игры. Они были оснащены легитимным функционалом, но также содержали вредоносный код.
Вредоносный код определял последнее открытое пользователем и запущенное в фоновом режиме приложение. Если им оказывался Facebook, поверх официального приложения на экране открывалось окно браузера с поддельной страницей авторизации в Facebook. После того как пользователь вводил свои учетные данные, они отправлялись на удаленный сервер airshop.pw (в настоящее время домен не работает).
Специалисты Evina уведомили Google о вредоносных приложениях в конце мая нынешнего года. Компания удалила их из Play Store ранее в этом месяце после того, как проверила предоставленные исследователями данные. Некоторые программы находились в Play Store более года.
Google удалила вредоносные программы не только из своего магазина, но и с устройств пользователей. Кроме того, всем затронутым пользователям были разосланы соответствующие уведомления через встроенный в Play Store сервис Play Protect.