Android Play Store上发现Facebook密码窃取应用

安全研究人员现在发现了一种新的恶意软件，名为幽灵队谷歌Play Store上至少有56个应用程序，这些应用程序旨在窃取Facebook登录凭据，并向用户积极显示弹出式广告。

这些恶意应用由Trend Micro和Avast两家网络安全公司独立发现，伪装成各种实用程序（如手电筒、二维码扫描仪和指南针）、性能提升（如文件传输和清洁）、娱乐、生活方式和视频下载应用。

和大多数恶意软件应用一样，这些安卓应用本身不包含任何恶意代码，这就是它们最终出现在谷歌官方Play Store上的原因。

一旦安装，它首先确认设备是否不是模拟器或虚拟环境，然后相应地下载恶意软件负载，这会提示受害者批准设备管理员权限，以在设备上获得持久性。
Avast说：“下载应用程序收集有关设备的信息，比如唯一的设备ID、位置、语言和显示参数。”。“设备的位置是从IP地址获取的，在联系为IP提供地理位置信息的在线服务时使用该地址。”

安卓恶意软件如何窃取你的Facebook账户密码

一旦用户打开他们的Facebook应用程序，恶意软件就会立即提示他们通过登录Facebook重新验证自己的帐户。该恶意软件没有利用任何系统或应用程序漏洞，而是使用经典的网络钓鱼方案来完成任务。

这些假冒应用只需启动一个带有Facebook外观登录页面的WebView组件，并要求用户登录即可。显然，WebView代码窃取了受害者的Facebook用户名和密码，并将其发送到黑客控制的远程服务器。

Avast说：“这很可能是因为开发者在应用程序中使用嵌入式网络浏览器（WebView、WebChromeClient），而不是在浏览器中打开网页。”。

Trend Micro的研究人员警告说，这些被盗的Facebook凭证稍后可能会被重新利用，以提供“破坏性更大的恶意软件”或“聚集一支僵尸社交媒体大军”，传播假新闻或生成加密货币挖掘恶意软件。

被盗的Facebook账户也可能暴露”大量其他财务和个人身份信息“然后可以在地下市场出售。

安全公司认为，由于代码中大量使用越南语，GhostTeam是由一名越南开发者开发并上传到Play Store的。

据研究人员称，受GhostTeam恶意软件影响最大的用户据报道居住在印度、印度尼西亚、巴西、越南和菲律宾。

除了窃取Facebook凭据外，GhostTeam恶意软件还通过在后台显示不需要的广告，始终让受感染的设备保持清醒，从而积极显示弹出广告。
研究人员向谷歌报告后，谷歌已将所有应用从Play Store中删除。然而，已经在设备上安装了一个这样的应用程序的用户应该确保启用了Google Play Protect。

Play Protect security feature使用机器学习和应用程序使用分析从用户Android智能手机上删除（即卸载）恶意应用程序，以防止进一步的伤害。

虽然官方应用商店上漂浮的恶意应用是一个永无止境的担忧，但保护自己的最佳方式是在下载应用时始终保持警惕，并在下载应用之前始终验证应用权限和评论。

此外，强烈建议您在移动设备上保留一个良好的防病毒应用程序，可以在此类威胁感染您的设备之前检测并阻止它们，最重要的是，始终保持设备和应用程序的最新状态。