Horor igra iz Google Play prodavnice krade lozinke za Facebook i Google naloge

Mobilni telefoni, 04.07.2019, 01:30 AM

Istraživači kompanije Wandera otkrili su u Googleovoj Play prodavici horor igru sa više od 50000 instalacija i visokom prosečnom ocenom korisnika (4 zvezdice), koja krade lozinke za Google i Facebook naloge igrača, a zatim izvlači podatke sa njihovih naloga nakon prijavljivanja.

Igra se zove Scary Granny ZOMBYE Mod: The Horror Game 2019. Igra je dizajnirana je tako da iskoristi uspeh Android igre pod nazivom Granny koja trenutno ima više od 100 miliona instalacija.

Iako je Scary Granny potpuno funkcionalna igra koja je zaista motivisala igrače da igraju kako ne bi izazvala bilo kakvu sumnju kod njih, ona je ipak uklonjena 27. juna iz Google Play prodavnice, kada su istraživači kompanije Wandera otkrili da igra krade lozinke i podatke, posle čega su je prijavili Googleu.

Da bi se sakrila njena “mračna” strana, igra posle instalacije odlaže bilo kakve zlonamerne aktivnosti na dva dana.

Aplikacija takođe aktivira svoje module za krađu podataka samo ako se koristi na starijim verzijama Androida, dok korisnici novijih uređaja sa ažuriranim operativnim sistemima nisu ugroženi.

Kada se instalira, igra Scary Granny obezbeđuje sebi postojanost na uređaju tražeći dozvole da se pokrene nakon što se smart telefon ili tablet ponovo uključi.

To aplikaciji omogućava da prikaže fišing prozore preko celog ekrana čak i nakon isključivanja i ponovnog uključivanja uređaja, tako što će prvo prikazati “obaveštenje da korisnik treba da ažurira Googleove sigurnosne usluge. Kada korisnik klikne na “update”, prikazuje se lažna Google stranica za prijavljivanje, što je veoma uverljivo, osim činjenice da je “sign in” pogrešno napisano.”

Kada ukrade korisničko ime i lozinku za Google nalog, Scary Granny će početi da prikuplja informacije o nalogu, kao što su emailovi za oporavak naloga i telefonski brojevi, verifikacioni kodovi, datum rođenja, kao i kolačići i tokeni.

Aplikacija se prijavljuje na naloge žrtava koristeći ugrađeni pregledač i počinje da prikuplja kolačiće i identifikatore sesija koji će biti poslati napadaču.

Ovakvo ponašanje je usledilo nakon što je početna verzija aplikacije ažurirana, jer iako je imala mogućnost da krade i izvlači podatke o Google i Facebook nalogu korisnika, ona nije mogla da ih pošalje zato što je konstatno imala prekide u radu. Ovo pokazujući da oni koji stoje iza ove igre stalno ažuriraju njene zlonamerne funkcije.

Igra Scary Granny takođe je uporno prikazivala reklame kao reklame iz drugih aplikacija kao što su Amazon, Facebook, Facebook Lite, HaGo, Hulu, Instagram, Messenger, Pinterest, SnapChat, TikTok ili Zalo.

Istraživači Wandere nisu mogli da dokažu da su se reklame koristile i za preusmeravanje žrtava na linkove za preuzimanje koji bi omogućili kriminalcima da distribuiraju druge zlonamerne aplikacije.

Međutim, “u jednom slučaju, reklama usmerava korisnika na stranicu koju je Google blokirao, označavajući je kao obmanjujuću, što sugeriše da hostuje malver ili fišing napad.”

Reklame će biti distribuirane kompromitovanim Android uređajima nakon povezivanja na oglasnu mrežu pomoću paketa com.coread.adsdkandroid2019.

Zlonamerna igra takođe pokušava da dodatno poveća profit svojih distributera tako što od korisnika Androida tražiti da plate za igru preko “unapred popunjene PayPal stranice za uplatu 18 funti (22 dolara)”, kažu istraživači.