• 發布單位:TWCERT/CC
• 更新日期:2021-07-06
• 點閱次數:3586

Google 日前自 Google Play Store 中下架了 9 款 Android App，原因是這些 App 遭資安專家發現，會用特殊方式竊取用戶的 Facebook 密碼。

Google 日前自 Google Play Store 中下架了 9 款 Android App，其合併下載次數高達 580 萬次；原因是這些 App 遭資安專家發現，會用特殊方式竊取用戶的 Facebook 密碼。

這些被下架的 App 都是相當熱門的應用類型，像是相片特效編輯、加框、運動健身、星座、Android 系統整理加速、移除垃圾檔案等等，用這些功能解除用戶心防，吸引用戶下載。

這些惡意 App 竊取用戶 Facebook 登入帳號密碼的方式也很一致，就是要求用戶輸入其 Facebook 登入資訊，以移除 App 内顯示的廣告；雖然在用戶登入時出現的是真正的 Facebook 登入頁面，但在同一個 WebView 元件中，還會另外載入由駭侵者的控制伺服器植入的 JavaScript 程式碼，以攔截用戶輸入的登入資訊。

這支 JavaScript 程式在獲取用戶的 Facebook 登入資訊後，會再將登入資訊傳回控制伺服器，之後惡意軟體還會竊取用戶存在瀏覽器中的 Cookie。

資安專家也指出，雖然該惡意程式碼目前只竊取 Facebook 登入資訊，但可以隨時透過控制伺服器，變更要竊取的登入服務對象；因此用戶在其他服務的登入資訊也很有可能早被竊取得手。

這九個被 Google 下架的 Android App 分別是 PIP Photo、Processing Photo、Rubbish Cleaner、Inwell Fitness、Horoscope Daily、App Lock Keep、Lockit Master、Horoscope Pi、App Lock Manager。Android 用戶應立即檢查自己是否有下載這些惡意 App 並儘速移除。