Cumulând 2.34 milioane de instalări, operațiunea desfășurată cu 25 aplicații de Android infiltrate în magazinul Play Store a vizat obținerea numelui de utilizator și parola unui număr cât mai mare de conturi Facebook aparținând unor persoane reale.
Deși ofereau funcționalitate diferită, aplicațiile dezvoltate de un singur grup de atacatori aveau la bază același cod software, nefiind prea dificil pentru administratorii Google să le izoleze, odată abuzurile comise au fost aduse la cunoștință. Totuși, având în vedere numărul mare de instalări cumulate, nu putem să nu ne întrebăm cum de filtrele automate de securitate folosite de companie nu au izolat problema mai devreme.
Potrivit unui raport publicat de compania specializată în securitate cibernetică Evina, aplicațiile malițioase erau disimulate ca și editoare imagine, editoare video, aplicații pentru setat wallpapere, aplicații tip lanternă, managere de fișiere, jocuri de Android și aplicații pentru fitness.
În timp ce aplicațiile ofereau în mod legitim funcționalitate utilă, în secret activau și porțiuni de cod infectat care acționa împotriva intereselor utilizatorilor, detectând ce aplicații rulează pe ecranul telefonului.
Dacă ținta găsită era clientul Facebook, aplicația rău intenționată suprapunea peste interfața acesteia fereastra unei pagini web falsificate, simulând ecranul de login în contul de Facebook. De aici, parcursul este ușor de intuit, utilizatorii introducând de bună voie parola contului de Facebook crezând că aplicația de mobil solicită re-autentificare.
Schema de tip phishing furniza atacatorilor datele de autentificare căutate, deschizând acces nelimitat asupra conturilor de Facebook și, posibil, alte conturi setate pentru autentificare automată folosind credențialele Facebook.
Odată identificate, aplicațiile infectate au fost eliminate din magazinul Google Play și blocate de la a mai rula pe dispozitivele compromise, posesorii acestora fiind informați un mesaj de notificare despre situația apărută și îndrumați să le dezinstaleze manual.