11 agosto 2022 0 216

Um Aplicativo de Trojan Android Facestealer Incorporado Rouba Mais de 100 000 Credenciais do Facebook na Google Play Store

Os usuários do Android devem evitar instalar aplicativos de desenvolvedores desconhecidos. Os pesquisadores do Pradeo descobriram recentemente um risco de segurança na forma de um spyware malicioso "Facestealer" chamado Craftsart Cartoon Photo Tool, que foi distribuído na Google Play Store e atingiu com sucesso milhares de usuários do Android.

O Facestealer, que se conectava automaticamente à um servidor russo por meio de engenharia social, foi usado para roubar credenciais do Facebook. Com o spyware, os criminosos ganharam controle total e acessaram as contas do Facebook de suas vítimas. Eles tinham acesso à tudo relacionado às contas, incluindo informações de cartão de crédito, conversas, pesquisas e assim por diante. Confira a imagem abaixo para obter uma lista completa das informações às quais eles tiveram acesso aqui que tinham acesso total.

Clique aqui para obter mais informações sobre as informações às quais eles tiveram acesso total e puderam fazer o download. A boa notícia é que o Google removeu o aplicativo de sua loja em 22 de Março.

Como Eles Enganam o Google e os Usuários

Eles colocaram o malware nas lojas de aplicativos como um aplicativo móvel distribuído no Google Play e em lojas de aplicativos de terceiros. Eles fizeram o aplicativo imitar o comportamento de aplicativos legítimos de edição de fotos bem conhecidos para atingir um grande público. Com essa estratégia, eles conseguiram esconder suas atividades ilegais e enganar muitos usuários. Como resultado, eles passaram um pequeno pedaço de código pelas proteções das lojas de aplicativos para realizar seus planos.

Credenciais de Contas do Facebook Coletadas pelo Malware

Imediatamente depois que os usuários instalaram o aplicativo e o abriram, uma página de login do Facebook foi exibida. Os usuários foram induzidos a fazer login em suas contas do Facebook para que pudessem usar o aplicativo. Se eles não fizerem login em suas contas do Facebook, não poderão usar o aplicativo. No entanto, imediatamente após o login, suas informações (nome de usuário e senha) foram passadas aos hackers.

Os usuários são induzidos a fazer login em suas contas do Facebook para que possam usar o aplicativo. Se eles não fizerem login em suas contas do Facebook, eles não poderão usar o aplicativo. Imediatamente após o login, suas informações (nome de usuário e senha) são passadas aos hackers.


Fraude Financeira

As credenciais roubadas do Facebook são usadas de várias maneiras, sendo as mais comuns enviar links de phishing, espalhar notícias falsas e cometer fraudes financeiras. Nesse caso, os cibercriminosos tiveram acesso às informações do cartão de crédito das vítimas, facilitando o roubo do dinheiro.

Conexões de Domínio Registrado Russo

Craftsart Cartoon Photo Tools conectado à um domínio registrado na Rússia, que especialistas em segurança cibernética investigaram e descobriram que havia sido usado por 7 anos e estava vinculado à vários aplicativos móveis maliciosos que estavam disponíveis no Google Play em um ponto, mas posteriormente foram deletados. Os cibercriminosos continuam reempacotando aplicativos móveis para enganar as vítimas e manter uma presença no Google Play. Hackers frequentemente automatizam o processo de reempacotamento, tornando muito fácil para eles retornarem com novos aplicativos sempre que seus aplicativos ilegais são detectados e removidos da Google Play Store.

Como Remover Este Aplicativo Malicioso

A boa notícia é que o aplicativo é único; não há outro aplicativo com o mesmo nome na Google Play Store. Como resultado, identificar e remover Craftsart Cartoon Photo Tools de seus dispositivos móveis é simples.

Para remover o Craftsart Cartoon Photo Tools do seu dispositivo Android, vá para Configurações> Aplicativos> Gerenciamento de aplicativos, role para baixo até Craftsart Cartoon Photo Tools, toque nele e toque em Desinstalar.

Vá para Configurações para verificar se há atualizações de segurança em seu telefone. Configurações > Sistema > Atualização do sistema.

Instale um bom aplicativo antivírus para Android para garantir que isso não aconteça novamente. Você também deve baixar seus aplicativos do Google Play porque, embora não seja totalmente seguro, é muito mais seguro do que a maioria das lojas de aplicativos não reconhecidas e ilegais onde o Craftsart Cartoon Photo Tools ainda pode ser encontrado.

Vá para a Google Play Store para ativar o Google Play Protect. Google Play Store > Perfil > Play Protect > Configurações > Ativar aplicativos de digitalização com o Play Protect.

Vá para Configurações para verificar se há atualizações de segurança em seu telefone. Configurações > Sistema > Atualização do sistema.

Sempre que você suspeitar que baixou um aplicativo comprometido e o excluiu, uma boa precaução que você deve tomar é alterar sua senha de mídia social (neste caso, o Facebook). Além disso, saia de todos os dispositivos em que suas contas possam estar conectadas para que você possa desconectar automaticamente os criminosos permanentemente.

Não se esqueça de fazer uma verificação de segurança no seu dispositivo. Abra um navegador da Web em seu telefone e faça uma Verificação de segurança do Google. Siga as etapas para fornecer configurações de segurança mais robustas ao seu dispositivo.

Em seguida, certifique-se de sempre ler as avaliações dos usuários antes de baixar os aplicativos. Alguns usuários deram avaliações de uma estrela à este aplicativo e alertaram outros que era um produto terrível e uma farsa. Abaixo está um screenshot.

Outra tática usada por cibercriminosos que gostaríamos de discutir neste artigo, conforme revelado por especialistas em segurança cibernética, é um ataque ao Android conhecido como Tapjacking.

Tapjacking

Tapjacking, como o nome indica, é uma combinação de "tap" e "jacking". Isso significa que alguém assumiu o que os usuários tocam em seus telefones e tablets. É um dos hacks Android mais cruéis conhecidos, pois não depende de permissões especiais, ferramentas externas ou bibliotecas.

Uma humilde mensagem de brinde aparecerá na tela como uma coisa efêmera agradável e despercebida que desaparecerá no momento em que você perceber. Sua aplicação típica é fornecer notificações não críticas ao usuário. O usuário geralmente não tem conhecimento do que aconteceu e não interage com isso (porque não há como ele poder), e não há como fazer com que a mensagem de brinde permaneça indefinidamente. Ela aparece e depois desaparece em um instante.

Há outro truque usado em conjunto com o Tapjacking conhecido como sobreposições de tela.

Sobreposições de Tela

Uma sobreposição de tela normalmente é um componente de um aplicativo que aparece em cima de outros aplicativos, como as cabeças de chat no Facebook Messenger. Você pode receber um erro de sobreposição de tela se um aplicativo estiver bloqueando uma parte de outro aplicativo na tela, que você pode desabilitar facilmente. Por exemplo, ao iniciar um aplicativo pela primeira vez, você pode ser solicitado a confirmar a concessão de acesso às pastas do seu telefone. Uma sobreposição de tela é a caixa de diálogo que aparece naquele momento, fazendo com que o resto da tela fique cinza enquanto ainda permite que você veja o que está por baixo. As sobreposições de tela são inquestionavelmente um recurso útil. Na verdade, eles são responsáveis pelas bolhas de chat flutuantes usadas pelo Facebook Messenger.

A ironia da situação é que os cibercriminosos usam esse recurso para enganar os usuários de dispositivos móveis.

O Tapjacking é Causado por Sobreposições de Tela

O aspecto mais importante de todo o conceito é que nenhuma sobreposição de tela deve estar ativa enquanto você está concedendo permissão crítica à um aplicativo. Dizemos "não deveria" porque a implementação real desse conceito de segurança é seriamente uma falha. Quando ativado, esse recurso de segurança impede que você interaja com a interface do usuário subjacente se uma sobreposição estiver ativa.

Por que este é o caso? Isso ocorre porque uma sobreposição de tela ativa pode detectar toques e interceptar qualquer informação que esteja sendo passada para a atividade subjacente, como senhas, informações de cartão de crédito e outras informações confidenciais. Isso é aterrorizante.

Como um Invasor Cria uma Sobreposição Sorrateira

É aqui que o brinde volta a funcionar e, quando se trata de brinde, a maioria dos desenvolvedores imagina um pop-up minúsculo e de curta duração. No entanto, um brinde pode ser maior para incluir conteúdo como uma imagem. Quanto tempo viverá? Um hacker habilidoso pode criar a ilusão de permanência utilizando o Android Timer integrado. Quando o cronômetro expira, o brinde é redesenhado na tela, o que é um trabalho feito com perfeição e inteligência. Como resultado, um toast pode ser usado para diversas finalidades, desde ouvir toques até exibir entradas de senhas falsas para os usuários.

O tapjacking deve ser óbvio agora que é uma exploração quase impossível de parar porque não é intrusiva.|

Como Prevenir o Tapjacking no Android

O Tapjacking é simples de evitar se você olhar de perto. Tudo está bem na área de aplicativos, desde que seu Android não permita que atividades coletem entrada enquanto uma sobreposição estiver ativa. Infelizmente, no Android 4.0.3 e anteriores, essa configuração de segurança foi desativada por padrão, tornando essas versões as mais infames da história do Android. A lacuna acabou sendo preenchida e todos ficaram satisfeitos com o modelo de segurança do Android 6. No entanto, por motivos desconhecidos, os desenvolvedores do Google decidiram desativar essa configuração novamente na versão 6.0.1, resultando em vários casos de dados de usuários comprometidos. Uma razão parece ser que o Google acreditava que os usuários preferiam a conveniência ao aborrecimento de definir permissões constantemente, mas o custo da negligência tem sido muito alto.

O Android 12 permite que os desenvolvedores fechem o tipo TYPE_APPLICATION_OVERLAY de janelas para aumentar a segurança. Depois que a permissão HIDE_OVERLAY_WINDOWS for declarada, quando a tela sensível for aberta, as janelas de sobreposição serão fechadas com o seguinte trecho de código:


O Que Você Deveria Fazer?

Os usuários devem simplesmente navegar até a seção de suas configurações que lida com telas de sobreposição. Ele deve ser chamado de "Aplicativos que podem aparecer no topo" ou "Aplicativos que podem se sobrepor à outros aplicativos". Se você ainda não tiver certeza, uma rápida pesquisa no Google pela marca e modelo do seu telefone revelará a configuração correta.

Os desenvolvedores devem ter empatia com a situação dos usuários e incluir os seguintes itens na lista de verificação de pré-lançamento: certifique-se de que a configuração filterTouchesWhenObscured esteja definida como verdadeira ou que o método onFilterTouchEventForSecurity() seja implementado nos aplicativos.

Conclusão

Os Facestealers podem ser facilmente evitados se os usuários reservarem um tempo para ler as resenhas antes de baixar aplicativos da Play Store ou da Apple Store. Não fique muito ansioso para baixar qualquer aplicativo sem primeiro verificar as avaliações e, em seguida, verificar novamente. A prevenção é preferível à cura.

Além disso, se você não for um desenvolvedor de segurança com ampla experiência, evite baixar novos aplicativos. Permita que muitos usuários deixem primeiro comentários que você possa ler para tomar uma decisão sábia. Esteja ciente de que alguns cibercriminosos usam avaliações falsas para enganar os usuários, e você pode detectar facilmente esse truque apenas se for paciente o suficiente para ler as avaliações completamente.

Gostaríamos de salientar que entender e prevenir o tapjacking não é ciência de foguete. O sucesso do tapjacking é baseado na preguiça do Google e dos desenvolvedores de aplicativos, bem como na falta de conscientização dos usuários. Você pode facilmente evitar essa brecha agora que está ciente disso.

O que acha do artigo?