総ダウンロード数580万回のアプリ10種がFacebookパスワードを盗み出していたと判明

セキュリティ企業のDr.WebがFacebookのログイン情報を盗み出すマルウェアアプリ10種を公表しました。この10種のうち9種はGoogle Playで利用可能で、総ダウンロード数は580万回に達していました。

Android trojans steal Facebook users’ logins and passwords
https://news.drweb.com/show/?i=14244&lng=en

Apps with 5.8 million Google Play downloads stole users’ Facebook passwords | Ars Technica
https://arstechnica.com/gadgets/2021/07/google-boots-google-play-apps-for-stealing-users-facebook-passwords/

Dr.Webが明かした10種のマルウェアアプリのうち、Google Play上で公開されていたものは、「PIP Photo」「Processing Photo」「Rubbish Cleaner」「Inwell Fitness」「Horoscope Daily」「App Lock Keep」「Lockit Master」「Horoscope Pi」「App Lock Manager」の9種。

今回特定されたアプリの特徴は、いずれも機能自体は何ら不都合なく使えるという点。Facebookのユーザー情報を盗み出す手口は、アプリ使用時に「アプリ内広告を無効にするためにFacebookアカウントでログインしてください」と求められるというものでした。以下がその画面。

「LOGIN WITH FACEBOOK」をタップするとFacebookのログインフォームに遷移します。Dr.Webによると、このログインフォーム自体も本物ですが、このログインフォームに入力したユーザー名とパスワードはマルウェアによって攻撃者のサーバーに送信されるようになっていたとのこと。

この9種の総ダウンロード数は585万6010回で、中でも「PIP Photo」は総ダウンロード数500万回超と特に被害が大きかったとみられています。

これらのアプリに含まれていたマルウェアは5種類確認されており、うち3種はAndroidネイティブアプリ、うち2種はFlutterフレームワークにより作成されているものの、ユーザーデータを盗み出すコードに関して同一のファイルフォーマット設定と同一のJavaScriptコードを用いていることから、Dr.Webはこれら5種を同一マルウェアの亜種だと言及。これら5種に対し、「Android.PWS.Facebook.13」「Android.PWS.Facebook.14」「Android.PWS.Facebook.15」「Android.PWS.Facebook.17」「Android.PWS.Facebook.18」という識別子を振っています。

このうち、「Android.PWS.Facebook.15」についてはログファイルの一部を中国語で生成する追加機能が含まれていたことから、Dr.Webは中国語圏で作成された可能性があると指摘しています。

記事発表時点で、これら9種のアプリはGoogle Playから削除済みという状況です。