隐藏在Google Play中的Facestealer木马窃取脸书帐户信息

“Craftsart卡通照片工具”

谷歌官方Play商店中一款名为“Craftsart卡通照片工具”的流行移动应用已经安装了超过10万次，但不幸的是，它包含了Facestealer Android恶意软件的一个版本。

根据Pradeo的研究人员的说法，该应用程序的性能与承诺的一样，假装是一个合法的照片编辑工具。具体来说，它允许用户使用一些不同的过滤器将照片转换为卡通或“绘画”风格的版本。然而，研究人员表示，“在这个面具后面是一小段恶意代码，很容易在商店安全措施的雷达下溜走”。

Facestealer Android

Facestealer是一种已知的Android网络安全威胁，过去曾通过木马应用程序进入Google Play。根据Malwarebytes过去饿分析，当应用程序首次启动时，它会将用户引导至合法的Facebook主登录页面，并要求用户登录后才能使用该应用程序。然后，“注入的恶意JavaScript窃取登录凭据，并将其发送到命令和控制服务器，”通过C2服务器使用登录凭据授权访问[帐户]。

Facestealer木马开始进行数据窃取

因此，木马开始了数据窃取竞赛，它从受害者的Facebook帐户中提取信息，包括电子邮件地址和IP地址、电话号码、对话和消息历史记录、信用卡详细信息、朋友列表等。

Pradeo研究人员在一篇文章中解释说：“当您的社交媒体帐户的登录凭据被盗时，这可能会产生严重后果。它为黑客提供了一个收集更多信息的基地。网络犯罪分子使用Facebook凭据以多种方式破坏帐户，最常见的是进行金融欺诈、发送网络钓鱼链接和传播假新闻。”

Pradeo对Craftsart卡通照片工具的分析发现，该应用程序连接到俄罗斯注册的域名，该域名已被用作各种恶意Android应用程序的指挥和控制（C2）地址至少七年。

Pradeo研究人员表示，“[域名]连接到多个恶意移动应用程序，这些应用程序在Google Play上某些时候可用，后来被删除。为了在Google Play上保持影响力，重新打包移动应用程序是网络犯罪分子的常见做法。有时，我们甚至观察到重新打包完全自动化的情况。”

事情发生后Pradeo的研究人员已向Google Play团队通报了该应用，但截至目前，该应用仍在官方商店中可用。

注意避免Google Play恶意软件

卡巴斯基在2月份的一篇帖子中表示，越来越多的恶意软件出现在Google Play中，而且使用的策略与Craftsart卡通照片工具相同。

相关研究人员称：“将恶意软件潜入Google Play的最常见方式是，特洛伊木马模仿网站上已经发布的合法应用程序（例如，照片编辑器或VPN服务），并添加一小段代码，以解密并从木马体中发射有效负载，或从攻击者的服务器下载有效负载。通常，为了使动态分析复杂化，解包操作是通过来自攻击者服务器的命令执行的，并且分几个步骤进行：每个解密的模块包含下一个模块的地址，以及用于解密的指令。”

因此，该工具再次警示用户应始终警惕任何带有警告标志的应用程序。在目前情况下，虽然该应用已成功吸引了大量的安装下载，但在评论中仍存在十分明确的危险信号。