Un trojan per Android ruba le password di Facebook ed è stato installato 100 mila volte

La società di sicurezza mobile Pradeo ha individuato un malware Android che camuffandosi da un'applicazione per la creazione di disegni animati, si installa negli smartphone allo scopo di sottrarre le credenziali di accesso a Facebook. Il malware sarebbe già stato installato in oltre 100 mila occasioni e scaricato tramite Google Play Store.

L'applicazione, dal nome "Craftsart Cartoon Photo Tools" permette agli utenti di caricare un'immagine e trasformarla in un'animazione. All'interno dell'app si nasconde però un trojan chiamato "FaceStealer" che mostra una schermata di accesso a Facebook con la quale viene chiesto l'accesso agli utenti prima che sia possibile utilizzare l'app.

Una volta che le credenziali sono state inserite, vengono inviate ad un server di comando e controllo, così che sia possibile per gli aggressori raccoglierle e conservarle a loro bisogno. Il malware non si collega solamente al server C2, ma anche ad un URL dove vengono inviati ulteriori dati e che in passato è già stato utilizzato per diffondere altre applicazioni Android contenenti FaceStealer.

Pradeo spiega che lo sviluppatore di queste app hanno automatizzato un processo di "re-packaging" inserendo un piccolo frammento di codice dannoso in un'app altrimenti legittima. Questo stratagemma permette di aggirare la procedura di controllo di Play Store, ammettendo quindi l'applicazione sullo store ufficiale. Quando l'utente apre l'applicazione non può accedere ad alcuna delle funzionalità proprie dell'app che ha scaricato fino a quando non esegue l'accesso tramite la fittizia schermata di Facebook.

Dato che sono molte le applicazioni che richiedono di accedere ai social network per la condivisione di vari tipi di contenuti, il pubblico è divenuto generalmente poco attento a questo tipo di richieste d'accesso, inserendo le proprie credenziali senza che vengano colti da particolari dubbi. 

Nel momento in cui Pradeo ha elaborato e pubblicato la sua analisi, l'app Craftsart Cartoon Photo Tools era ancora disponibile sul Play Store, mentre nel momento in cui scriviamo non ve n'è più traccia. Purtroppo la presenza di applicazioni sul Play Store di Android non è necessariamente garanzia di sicurezza poiché, come abbiamo visto, gli aggressori riescono talvolta a trovare modi per riuscire ad aggirare i controlli di verifica per l'ammissibilità. 

In ogni caso è sempre consigliabile osservare le recensioni prima di scaricare una qualsiasi applicazione. Nel caso di Craftsart Cartoon Photo Tools, ad esempio, vi erano recensioni estremamente negative con una votazione media di 1,7 stelle. Molte di queste recensioni inoltre indicavano proprio il fatto che l'app offrisse funzionalità limitate e richiedesse l'accesso a Facebook. Per qualche scrupolo in più è consigliabile inoltre verificare sempre chi sia lo sviluppatore e quale sia l'indirizzo email a cui è contattabile.

Come abbiamo detto, l'applicazione Craftsart Cartoon Photo Tools ora non si trova più su Play Store, ma chi l'avesse scaricata dovrebbe rimuoverla immediatamente, cambiare le proprie credenziali di accesso a Facebook ed attivare la protezione a due fattori per un aggiuntivo livello di sicurezza.