Cercetătorii specializați în securitatea informatică au descoperit 13 noi aplicații din Google Play care fură datele de autentificare din Instagram și au analizat motivațiile din spatele schemelor frauduloase.

Figura 1 – Aplicația malware din Google Play

Sub numele de detecție Android/Spy.Inazigram, 13 aplicații care au o componenta malware au fost descoperite în magazinul oficial Google Play. Aplicațiile subtilizau datele de autentificare din Instagram și le trimiteau către un server de la distanță.

Deși țara de origine părea a fi Turcia, unele aplicații au utilizat versiunea în engleză pentru a viza utilizatorii Instagram din întreaga lume. Per total, aplicațiile malware au fost instalate de 1,5 milioane de utilizatori. După notificarea realizată de ESET, toate cele 13 aplicații au fost scoase din magazin.

Cum funcționează atacul?

Toate aplicațiile au folosit aceeași tehnică de subtilizare a datelor de autentificare din Instagram și de trimitere a acestora la un server, la distanță. Pentru a atrage utilizatorii către descărcarea lor, aplicațiile promiteau că vor crește rapid numărul de fani, like-uri și de comentarii pe contul de Instagram.

În mod ironic, conturile compromise au fost folosite pentru a crește numărul de fani ai altor utilizatori.

Figura 2 – “Instagram Followers” promițând că mărește engagementul pe Instagram

După cum se arată în următorul screenshot al uneia dintre aceste aplicații, "Instagram Followers", aceasta cerea utilizatorului să se conecteze printr-un ecran ce semăna cu cel de la Instagram. Datele de conectare introduse în formular erau apoi trimise la serverul atacatorului sub forma unui text simplu. După introducerea datelor de autentificare, utilizatorului îi era imposibil să se conecteze, după cum se explică într-un ecran ce prezenta eroarea de tip "parolă incorectă".

Figura 3 – Ecran ce mimează autentificarea pe Instagram

Figura 4 – Eroare “Parolă incorectă” care împiedică utilizatorul să se autentifice

Ecranul de eroare avea, de asemenea, o notă care sugera utilizatorului să viziteze site-ul oficial al Instagram și să-și verifice contul pentru a se conecta la aplicația terță. Pe măsură ce victimele erau notificate cu privire la tentativa neautorizată de conectare în numele lor și erau îndemnate să-și verifice contul de îndată ce deschideau aplicația Instagram, nota malițioasă își propunea să reducă suspiciunea în avans.

Figura 5 – Notificarea oficială Instagram cu privire la încercările neautorizate de autentificare

În cazul în care atacatorii aveau succes, iar utilizatorul nu recunoștea amenințarea după ce primea o notificare din partea aplicației Instagram, informațiile furate puteau fi folosite spre o nouă utilizare.

Ce se întâmpla cu datele de conectare furate?

S-ar putea să vă întrebați la ce folosesc câteva (sute de mii) date de conectare de Instagram furate?

În afară de posibilitatea de a utiliza conturile compromise pentru răspândirea spam-ului și reclamelor, există, de asemenea, mai multe "modele de afaceri", în cadrul cărora cele mai valoroase bunuri sunt fanii, aprecierile și comentariile.

În cercetarea noastră, am urmărit serverele la care erau trimise datele de autentificare offline, care mai apoi erau distribuite pe site-urile care vând diverse pachete de boostere de popularitate pentru Instagram.

Figura 6 – Site-uri web care vând fani Instagram

Următoarea schema explică modul de operare:

 Cum să vă protejați?

Dacă ați descărcat una dintre aceste aplicații, veți găsi una dintre pictogramele sale în secțiunea de aplicații instalate. Ați primit, de asemenea, un anunț din partea Instagram privind încercarea de autentificare în contul dumneavoastră, așa cum se arată în Fig. 4. În cele din urmă, s-ar putea să observați că numărul persoanelor urmărite și al celor care vă urmăresc pe dvs. să fi crescut brusc sau s-ar putea să primiți răspunsuri la comentarii pe care nu le-ați postat niciodată.

Pentru a vă curăța dispozitivul, dezinstalați aplicațiile menționate mai sus găsite în managerul de aplicații sau folosiți o soluție fiabilă de securitate mobilă pentru a elimina amenințările în numele dumneavoastră.

Pentru a vă securiza contul de Instagram, schimbați imediat parola. În cazul în care utilizați aceeași parolă pe mai multe platforme, schimbați-le și acolo. Este cunoscut faptul că autorii de malware încearcă să aibă acces la alte servicii web utilizând acreditările furate, astfel că noi vă sfătuim să utilizați o parolă diferită pentru fiecare cont.

Pentru a preveni compromiterea conturilor de social media, există câteva sfaturi pe care trebuie să le țineți minte atunci când descărcați aplicații terțe din Google Play:

Nu introduceți informațiile sensibile în formulare de autentificare neautorizate ale aplicațiilor terțe. Pentru a verifica dacă o aplicație este de încredere, verificați popularitatea dezvoltatorului prin numărul de instalări, citiți evaluările pe care le are aplicația și cel mai important, conținutul  comentariilor.

Cu toate acestea, nu trageți concluzii pripite, deoarece multe dintre aceste evaluări și recenzii nu pot fi de încredere. Dacă aveți dubii, optați pentru aplicații de înaltă calitate, marcate ca „Top Developer” sau găsite în categoria „Editor’s Choice”.

Nu în ultimul rând, utilizați o soluție de securitate mobilă cu reputație pentru a vă proteja dispozitivul.

Mostre

LUKAS STEFANKO
CORESPONDENT INDEPENDENT