近日安全研究人員在 Google Play 商店中發現一款應用程式,它已經擁有超過 10 萬人次的安裝,包著趣味照片工具的外皮,其中確暗藏禍心,以內藏的木馬程式來竊取目前全球擁有大量用戶的 Facebook 平台登入帳密,而這款應用直到最近才被回報並下架。
Google Play 商店中發現會竊取使用者的 FB 帳密的應用程式
這款名為「Craftsart Cartoon Photo Tools」的應用程式,標榜用戶可以上傳個人照片、影像,並且透過演算法將其轉換為漫畫風格的插畫圖,在過去一週裡面,安全研究單位 Pradeo 在其中發現了一支名為「FaceStealer」的木馬程式,該木馬會在你打開應用程式時顯示一頁 Facebook 登入頁面,要求用戶在使用前先登入個人帳號。
根據 Jamf 的安全研究員 Michal Rajčan 的說法,當用戶輸入登入帳密後,該應用程式會將這些輸入的內容發送到 Zutuu 的命令和控制伺服器(C&C 伺服器,Command & Control Server),而不肖人士的目的正是收集這些個人資訊。除了 C&C 伺服器,惡意的 Android 應用程式還將連結到外部網站,並且在該網站中發送更多數據到彼端,而這些在過去登曾用於散播其他惡意 FaceStealer Android 應用。
App first presents screen with Facebook login prompt which redirects to real Facebook login page pic.twitter.com/atUGp2BCfS
— Michal Rajčan (@RajcanMichal) March 16, 2022
正如 Pradeo 在其安全報告中所解釋的那樣,這些應用程式的開發者和發行商似乎已經將重新封包的過程進行自動化,並將一小段惡意原始碼碼注入到其他合法應用程式中。這種手段有助於應用程式順利通過 Play 商店中的審查程式,並且不會引發任何危險訊號。一旦使用者打開它,除非他們登錄到自己的 Facebook 帳戶,否則不會獲得任何實際可用的功能(甚至你登入了也不會有啥可用功能)。
由於現在許多應用程式都是明明不必要卻又要求使用者登入 Facebook 帳號,使用者早已經對這些登入提示變得麻木,並且毫不猶豫地就輸入個人登入資訊。儘管這些可以將照片後製處理的應用程式很流行也很有趣,但人們應該在安裝後需要輸入個人敏感資訊時格外小心,包含生物特徵數據(面部圖像),這些應用可以在遠端伺服器上進行圖像修改並收集而非在設備上進行這些處理,很容易就會籠罩在被無限期保存、與他人共用或是轉賣等風險下。
雖然這款應用目前已經被下架,但還有更多可能存在風險的應用一直存在於 Google Play 商店中,直到被檢測到負面評價太多或被安全研究單位發現,在大多數情況下,大家可以透過查看 Google Play 商店應用下方的評論來發現該應用是否存在詐騙或是否為惡意軟體。正如在下面看到的,「Craftsart Cartoon Photo Tools」的用戶評論絕大多數是負面批評,獲得的評分也只有 1.7 顆星(滿分 5 星)。此外,其中許多評論警告說,該應用程式的功能有限,需要先登錄 Facebook。其次,這款應用的開發者名稱雖被列為「Google Commerce Ltd」,看起來很像是由 Google 所開發,但他的聯繫方式卻是一個隨機的 Gmail 郵件位址,這也是個很大的危險訊號。
如果你的手機裡面已經有安裝過這款應用程式,請務必立即刪除並且重設 Facebook 的登入密碼,最好是啟動雙重驗證已獲得額外的保護。