Update: Nach unserer Kommunikation mit dem Google Play-Team wurde die App schließlich am 22. März aus dem Store gelöscht.
Pradeo hat eine bösartige mobile Anwendung entdeckt, die sich derzeit über Google Play verbreitet und von über 100.000 Nutzern installiert wird. Die Anwendung bettet einen Android-Trojaner namens Facestealer ein, der Social Engineering nutzt, um Facebook-Anmeldeinformationen zu stehlen und Verbindungen zu einem russischen Server herzustellen. Die Täter, die die Spyware einsetzen, haben vollen Zugriff auf die Facebook-Konten der Opfer und alle darin enthaltenen Daten, wie Kreditkartendaten, Unterhaltungen, Suchanfragen usw. (siehe vollständige Liste)
Craftsart Cartoon Photo Tools
https://play.google.com/store/apps/details?id=com.craftstoon.cartoonphoto
com.craftstoon.cartoonphoto
Version 1.0.1
Mehr als 100.000 Installationen
Die oben erwähnte mobile Anwendung wird über Google Play und Anwendungsstores von Drittanbietern vertrieben. Um ein großes Publikum zu erreichen und ihre illegalen Aktivitäten zu verbergen, ahmt sie das Verhalten beliebter legitimer Fotobearbeitungsanwendungen nach. Tatsächlich wurde sie mit einem kleinen Stück Code versehen, das leicht unter dem Radar der Sicherheitsvorkehrungen der Stores durchschlüpft.
Sobald die Anwendung von den Nutzern gestartet wird, wird eine Facebook-Anmeldeseite geöffnet, und sie können die Anwendung nicht nutzen, wenn sie sich nicht anmelden. Wenn sie sich anmelden, werden ihr Benutzername und ihr Kennwort automatisch an Cyberkriminelle übermittelt, denen die Anwendung gehört.
Facebook-Anmeldedaten werden von Cyberkriminellen verwendet, um Konten auf verschiedene Weise zu kompromittieren, vor allem um Betrug zu begehen, Phishing-Links zu versenden und gefälschte Nachrichten zu verbreiten.
Die Anwendung Craftsart Cartoon Photo Tools stellt Verbindungen zu einer in Russland registrierten Domain her. Unsere Nachforschungen zeigen, dass diese Domain seit sieben Jahren immer wieder für mehrere bösartige mobile Anwendungen verwendet wird, die zeitweise bei Google Play verfügbar waren und später gelöscht wurden. Um bei Google Play präsent zu bleiben, ist das Neuverpacken von mobilen Anwendungen eine gängige Praxis für Cyberkriminelle. Manchmal haben wir sogar Fälle beobachtet, in denen das Repackaging vollständig automatisiert war.