谷歌本月从谷歌播放商店中删除了25个被窃取Facebook凭据的Android应用程序。
在删除之前,这25个应用程序的下载量总计超过234万次。
恶意应用程序是由同一威胁组开发的,尽管提供了不同的功能,但实际上所有应用程序的工作原理都是相同的。
根据法国网络安全公司Evina今天与ZDNet共享的一份报告,这些应用构成了计步器,图像编辑器,视频编辑器,墙纸应用,手电筒应用,文件管理器和手机游戏。
这些应用程序提供了合法功能,但其中还包含恶意代码。Evina研究人员说,这些应用程序包含的代码可以检测用户最近打开了什么应用程序,并且该应用程序位于手机的前台。
如果该应用程序是Facebook,则该恶意应用程序将在官方Facebook应用程序顶部覆盖一个Web浏览器窗口,并加载假的Facebook登录页面(请参见下图:蓝色栏=实际的Facebook应用程序,黑色栏=网络钓鱼页面)。
如果用户在此网络钓鱼页面上输入了凭据,则恶意应用程序将记录数据并将其发送到位于(现已停用)airshop.pw域中的远程服务器。
下面列出了25个应用程序的完整列表,它们的名称和程序包ID。当Google从Google Store删除恶意应用程序时,该公司还将禁用用户设备上的应用程序,并通过官方Play Store应用程序附带的Play Protect服务通知用户。