Aplikasi Untuk Mencuri Sandi Facebook Ditemukan di Android Play Store
Bahkan setelah banyak usaha yang dilakukan oleh Google tahun lalu, aplikasi berbahaya selalu berhasil masuk ke Google Play Store
Peneliti keamanan sekarang telah menemukan bagian baru dari perangkat lunak perusak, yang dijuluki GhostTeam, setidaknya memiliki 56 aplikasi di Google Play Store yang dirancang untuk mencuri kredensial masuk Facebook dan menampilkan iklan pop-up secara agresif kepada pengguna.
Ditemukan secara terpisah oleh dua perusahaan keamanan maya, Trend Micro dan Avast, aplikasi berbahaya menyamar sebagai berbagai utilitas (seperti senter, pemindai kode QR, dan kompas), peningkatan kinerja (seperti transfer file dan pembersih), hiburan, gaya hidup dan video. aplikasi downloader
Seperti kebanyakan aplikasi perangkat lunak perusak, aplikasi Android ini sendiri tidak mengandung kode berbahaya apa pun, itulah sebabnya mereka berhasil berakhir di Google Play Store resmi.
Setelah terinstal, pertama kali mengkonfirmasikan apakah perangkat tersebut bukan emulator atau lingkungan virtual dan kemudian mendownload muatan malware, yang meminta korban untuk menyetujui izin administrator perangkat untuk mendapatkan ketekunan pada perangkat.
"Aplikasi pengunduh mengumpulkan informasi tentang perangkat, seperti ID perangkat, lokasi, bahasa dan parameter tampilan yang unik," kata Avast. "Lokasi perangkat diperoleh dari alamat IP yang digunakan saat menghubungi layanan online yang menawarkan informasi geolokasi untuk IP."
Bagaimana Android Malware Mencuri Password Account Facebook Anda
Begitu pengguna membuka aplikasi Facebook mereka, malware tersebut segera meminta mereka untuk memverifikasi ulang akun mereka dengan masuk ke Facebook. Alih-alih memanfaatkan kerentanan sistem atau aplikasi apa pun, perangkat lunak perusak menggunakan skema phishing klasik untuk menyelesaikan pekerjaan.
Aplikasi palsu ini hanya meluncurkan komponen WebView dengan halaman login mirip Facebook dan meminta pengguna untuk log-in. Rupanya, kode WebView mencuri username dan password Facebook korban dan mengirimkannya ke server yang dikendalikan hacker jarak jauh.
"Ini kemungkinan besar karena pengembang menggunakan browser web tertanam (WebView, WebChromeClient) di aplikasi mereka, alih-alih membuka laman web di browser," kata Avast.
Periset Trend Micro memperingatkan bahwa kredensial Facebook yang dicuri ini nantinya dapat dikembalikan untuk memberikan "perangkat lunak perusak yang jauh lebih merusak" atau "mengumpulkan tentara media sosial zombie" untuk menyebarkan berita palsu atau menghasilkan malware kriptocurrency-mining.
Akun Facebook yang dicuri juga dapat mengekspos " banyak informasi finansial dan identitas pribadi lainnya ," yang kemudian dapat dijual di pasar bawah tanah.
Perusahaan keamanan percaya bahwa GhostTeam telah dikembangkan dan diunggah ke Play Store oleh pengembang Vietnam karena penggunaan bahasa Vietnam yang cukup banyak dalam kode tersebut.
Menurut para periset, sebagian besar pengguna yang terkena dampak malware GhostTeam dilaporkan berada di India, Indonesia, Brazil, Vietnam, dan Filipina.
Selain mencuri kredensial Facebook, malware GhostTeam juga menampilkan iklan pop up secara agresif dengan selalu menjaga agar perangkat yang terinfeksi terjaga dengan menampilkan iklan yang tidak diinginkan di latar belakang.