Yhteensä yli 5,8 miljoonaa latausta - Google Play -kaupasta paljastui joukko sinällään toimivia sovelluksia, jotka varastivat Facebook-kirjautumistietoja

Julkaistu

Google on poistanut Google Play -kaupastaan yhdeksän sovellusta, joita oli ladattu yhteensä yli 5,8 miljoonaa kertaa.

Tietoturvayhtiö Dr. Webin tutkijat löysivät yhteensä kymmenestä sovelluksesta, joista yhdeksää jaeltiin myös Google Play -kaupan kautta, troijalaisen, joka varasti käyttäjien sovelluksessa syöttämiä Facebook-kirjautumistietoja.

Sovellukset olivat itsessään täysin toimivia mitä tulee niiden tarjoamiin yksinkertaisiin ominaisuuksiin esimerkiksi kuvien muokkaamiseen ja rajaamiseen, horoskooppitietoihin tai turhien tiedostojen poistamiseen Android-laitteista. Toimivia sovelluksia ei ollut lähtökohtaisesti mitään syytä epäillä haitallisiksi.

Kaikki sovellukset kuitenkin tarjosivat mahdollisuutta Facebook-kirjautumiseen, jonka avulla sovellukset lupasivat avata kaikki ominaisuudet ja poistaa mainokset. Sovellukset oli tältäkin osin toteutettu taidokkaasti: ne avasivat oikean, aidon Facebook-kirjautumissivun WebView-selainnäkymässä, joten myöskään se ei herättänyt erityisemmin epäilyksiä. Sovellukset kuitenkin lisäsivät salakavalasti mukaan myös omaa JavaScript-koodia, joka poimi käyttäjien syöttämät tiedot ja välitti ne haittaohjelman taustapalvelimille. Kirjautumistietojen lisäksi samalla haittaohjelma välitti myös kirjautumisevästeet eteenpäin.

Sovellusten tutkinnan perusteella kaikki niistä keräsivät Facebook-tietoja, vaikka sinällään hyökkääjät olisivat voineet helposti vaihtaa sovellukset keräämään vastaavalla tavalla myös muiden palveluiden tietoja.

Selvästi eniten nyt paljastuneista haitallisista sovelluksista latauksia Google Play -sovelluskaupasta oli PIP Photo -sovelluksella, yli 5 miljoonaa. Google on sittemmin poistanut alla listatut yhdeksän sovellusta Google Play -kaupasta.

  • PIP Photo: yli 5 miljoonaa latausta
  • Processing Photo: yli 500 000 latausta
  • Rubbish Cleaner: yli 100 000 latausta
  • Inwell Fitness: yli 100 000 latausta
  • Horoscope Daily: yli 100 000 latausta
  • App Lock Keep: yli 50 000 latausta
  • Lockit Master: 5 000 lataus
  • Horoscope Pi: 1 000 latausta
  • App Lock Manager: 10 latausta

Googlen edustaja kommentoi Ars Technica -sivustolle yhtiön myös estäneen sovellukset julkaisseet kehittäjätilit, eli niiltä ei voida julkaista enää uusia sovelluksia.

Jos omasta Android-laitteesta löytyy edellä mainittu sovellus, kannattaa se poistaa. Lisäksi jos sovelluksissa on syöttänyt Facebook-tietoja, on Facebook-tili saattanut päätyä hyökkääjien hallintaan. Facebook-tilin salasana kannattaa kuitenkin yrittää muuttaa. Siihen ohjeet löytyvät Facebookin sivuilta.

Tiettävästi muuten kuin Facebook-tietojen varastamisen osalta nyt paljastuneet sovellukset eivät ole olleet haitallisia.