9 aplicații de pe Google Play au furat datele de logare la Facebook ale utilizatorilor. Au peste 500.000 de accesări

Dintre aplicațiile malițioase, cele mai populare erau PIP Photo, cu peste 5.8 milioane de accesări, și Processing Photo, cu peste 500.000 de accesări.

Celelalte aplicații – Rubbish Cleaner, Inwell Fitness, Horoscope Daily, App Lock Keep, Lockit Master, Horoscope Pi și App Lock Manager – au fost descărcate de aproximativ 356.000 de ori.

Aplicațiile conțineau troieni utilizați pentru a fura datele de logare la Facebook ale utilizatorilor. Google le-a eliminat din magazin și a interzis accesul dezvoltatorilor acestor aplicații la Google Play.

Cei care au descărcat una dintre aplicații sunt sfătuiți să verifice dacă dispozitivul și contul de Facebook au fost compromise, fiind recomandată utilizarea unei soluții antivirus pentru scanare.

1.000 de companii de pe glob afectate de atacul cibernetic împotriva Kaseya, furnizor global de servicii de management al software-ului

Hackerii au atacat vineri compania americană Kaseya pentru a cere o răscumpărare de la un potențial peste 1.000 de companii prin intermediul software-ului său de management informatic.

Prima consecinţă a acestui atac cibernetic a fost aceea că un mare lanţ de supermarketuri din Suedia a trebuit să închidă sâmbătă peste 800 de magazine, casele sale fiind paralizate de atac.

Este dificil în acest moment de estimat amploarea acestui atac de ransomware, un tip de program informatic care paralizează sistemele informatice ale unei companii şi cere apoi o răscumpărare pentru a le debloca, transmite AFP, citată de Agerpres.

Kaseya, care a identificat vineri la prânz, pe coasta de est a SUA, o posibilă problemă cu software-ul său VSA, a spus că incidentul a fost limitat la „mai puţin de 40 de clienţi din întreaga lume”.

Însă aceşti clienţi furnizează, la rândul lor, servicii altor companii, ceea ce le permite hackerilor să îşi extindă amploarea atacului.

Dr. Web, despre aceste aplicații

Acești troieni au folosit un mecanism special pentru a-și păcăli victimele. După ce au primit setările necesare de la unul dintre serverele C&C la lansare, au încărcat pagina web Facebook legitimă https://www.facebook.com/login.php în WebView.

Apoi, au încărcat JavaScript primit de la serverul C&C în același WebView. Acest script a fost utilizat direct pentru deturnarea acreditării de autentificare introduse.

După aceea, acest JavaScript, folosind metodele furnizate prin adnotarea JavascriptInterface, a transmis datele de conectare și parola furate aplicațiilor troiene, care apoi au transferat datele către serverul C&C al atacatorilor.

După ce victima s-a conectat la contul lor, troienii au furat și cookie-uri din sesiunea de autorizare curentă. Aceste cookie-uri au fost trimise și infractorilor cibernetici.

Analiza programelor dăunătoare a arătat că toți au primit setări pentru furtul de autentificări și parole ale conturilor Facebook.

Cu toate acestea, atacatorii ar fi putut schimba cu ușurință setările troienilor și le-ar fi comandat să încarce pagina web a unui alt serviciu legitim.

Ar fi putut folosi chiar un formular de autentificare complet fals situat pe un site de phishing. Astfel, troienii ar fi putut fi folosiți pentru a fura autentificări și parole de la orice serviciu.

Surse: cert.ro, arstechnica.com