Google移除9款会窃取脸书凭证的程式

Doctor Web于上周警告，该公司在Google Play上侦测到9款专门用来窃取使用者脸书凭证的行动程式，相关程式的总下载量超过580万次。Google在收到通知之后，已将它们移除。

这9款程式分别是PIP Photo、Processing Photo、Rubbish Cleaner、Inwell Fitness、Horoscope Daily、App Lock Keep、Lockit Master、Horoscope Pi与App Lock Manager。其中，照片编辑程式PIP Photo的下载量超过500万次，Processing Photo的下载量为50万次，占星程式Horoscope Daily也有逾10万下载量。

图片来源_Doctor Web

根据Doctor Web的分析，这些程式所夹带的恶意功能，全都是由同一个木马程式所改写，采用同样的配置文件格式，也利用同样的JavaScript脚本程式来窃取使用者的资料，同时它们的目的也是一致的：窃取用户的脸书凭证。

这些程式的功能都是完整的，执行之后也可以正常操作，但它们会跳出提示，要求使用者若是要存取全部的功能，或者是关闭程式中的广告，可先登入脸书账号来启用。继之程式会借由WebView载入一个合法的脸书登入页面，却也透过C&C服务器传送一个JavaScript脚本程式到同一个WebView上，以用来挟持使用者所输入的凭证，并将它们传回C&C服务器。

图片来源_Doctor Web

Doctor Web指出，虽然这次这些程式所嵌入的木马程式皆是用来窃取脸书凭证，但只要更改设定就能用来窃取任何服务的凭证，此外，就算它们已被Google移除，还是可能出现在第三方的Android程式市集，呼吁使用者先行检查自己的装置是否安装了相关的程式，以将它们移除，且不管是自Google Play或第三方市集下载程式，都应该选择可靠的开发者，并浏览已安装用户的评论。