Un malware progettato per rubare le credenziali di Facebook di un utente di un dispositivo Android continua a comparire sul Google Play Store, secondo quanto dichiarato dai ricercatori lunedì.
Conosciuto come Facestealer, il malware è tipicamente nascosto in applicazioni che altrimenti sembrano innocue. I ricercatori di Trend Micro hanno dichiarato di aver recentemente identificato più di 200 varianti nello store e Google le ha eliminate.
Alcune delle app fasulle “sono state installate più di centomila volte“, ha dichiarato Trend Micro. Le app Facestealer spesso si presentano come strumenti per la modifica, la manipolazione o la condivisione di foto, ma possono assumere altre forme.
I ricercatori hanno citato “Daily Fitness OL“, pubblicizzata come app per il fitness, “completa di esercizi e video dimostrativi“. Ma come la variante iniziale, è stata progettata per rubare le credenziali di Facebook dei suoi utenti“.
Le app Facestealer, identificate per la prima volta nel luglio 2021, sono state collegate a server russi dai ricercatori della società di sicurezza mobile Pradeo. Gli aggressori di solito utilizzano gli account Facebook compromessi “per scopi dannosi come truffe di phishing, post falsi e bot pubblicitari“, ha dichiarato Trend Micro.
La falsa app per il fitness chiede agli utenti di accedere a Facebook attraverso un browser incorporabile, quindi un pezzo di codice JavaScript viene “iniettato nella pagina web caricata per rubare le credenziali inserite dall’utente“.
Altre applicazioni Facestealer trovate da Trend Micro avevano i nomi di Enjoy Photo Editor, Panorama Camera, Photo Gaming Puzzle, Swarm Photo e Business Meta Manager.
I ricercatori hanno anche notato di aver trovato circa 40 false app per il mining di criptovalute che sono invece progettate per rubare dati. Trend Micro aveva segnalato applicazioni simili nell’agosto 2021.
Ad aprile Google ha comunicato di aver rimosso più di 1 milione di app potenzialmente dannose dal Play Store nel 2021.
