Beveiligingsbedrijf Pradeo heeft een app met malware ontdekt die te downloaden was in de Google Play Store. Dit meldt het bedrijf in een blog. De Android-app, genaamd Craftsarts Cartoon Photo Tools, probeerde Facebook-logins van gebruikers te stelen. Na contact met het Google Play team is de applicatie op 22 maart verwijderd uit de Play Store. Op dat moment hadden al ruim 100.000 gebruikers de app geïnstalleerd. Pradeo adviseert gebruikers om de app direct te verwijderen.
De Craftsart Cartoon Photo Tools-app werd verspreid via Google Play en andere app-winkels. Om zijn illegale activiteiten te verbergen en een groot publiek te bereiken, bootst het het gedrag van populaire fotobewerkingsprogramma’s na.
App gaf cybercriminelen toegang tot Facebook-accounts
Met de app Craftsart Cartoon Photo Tools zouden gebruikers door middel van een filter hun foto’s kunnen bewerken. Zonder dat gebruikers dit wisten bevatte de app in malware. De Android-specifieke trojan, genaamd FaceStealer, steelt de inloggegevens van een Facebook-account door middel van social engineering.
Zodra een gebruiker de applicatie opent, verschijnt er een Facebook inlogpagina. De app kan niet worden gebruikt voordat de inloggegevens zijn ingevuld. Na het invullen geeft de app de Facebook-gebruikersnaam en het wachtwoord automatisch door aan de eigenaren van de app; cybercriminelen. Zij hebben vervolgens toegang tot het account en kunnen dit gebruiken voor phishing, financiële fraude, identiteitsfraude, of het verspreiden van nepnieuws.
Bovendien hebben de criminelen met de inloggegevens volledige toegang tot alle gegevens op het account, zoals persoonlijke gegevens, creditcardgegevens, zoekopdrachten, gesprekken, en meer.
Verbonden met een Russische server
De app Craftsart Cartoon Photo Tools maakt verbinding met een in Rusland geregistreerd domein. Dit domein is volgens onderzoek van Pradeo al zeven jaar met tussenposen in gebruik. Het is verbonden met meerdere malafide mobiele apps die op bepaalde momenten beschikbaar waren via Google Play. Pradeo meldt dat cybercriminelen mobiele apps vaak opnieuw ‘verpakken’ om aanwezig te blijven op Google Play. Het bedrijf ontdekte zelfs gevallen waarin dit proces volledig geautomatiseerd was.
De gebruikte malware bestaat uit een klein stukje code in de app, waardoor het gemakkelijk onder de radar van het Google Play-team blijft.
In de blog meldt Pradeo niet hoeveel gebruikers daadwerkelijk hun Facebook-gegevens hebben ingevuld. Wel toont het bedrijf een screenshot met veelal negatieve recensies die gebruikers hebben achtergelaten.
Meerdere apps met malware in Play Store
Het gebeurt vaker dat malafide apps door de beveiliging van de Google Play Store heen glippen. Zo bleek eind vorig jaar dat geïnfecteerde apps een half jaar lang op de Google Play Store werden aangeboden. In totaal zijn ze ruim 300.000 keer gedownload. Ook bleek er een sms-scam gaande te zijn, waarbij verschillende met malware geïnfecteerde apps wereldwijd meer dan 10,5 miljoen keer zijn gedownload.
Criminelen spelen behendig in op hypes. Zo was er een tijd lang malware in omloop die zich voordeed als een Squid Game wallpaper-app. Hiermee maakten cybercriminelen misbruik van de populariteit van de Netflix serie Squid Game.
