O nouă aplicație care fură datele de autentificare Instagram a fost descoperită pe Google Play


Cercetătorii specializați în securitatea informatică au descoperit 13 noi aplicații din Google Play care fură datele de autentificare din Instagram și au analizat motivațiile din spatele schemelor frauduloase.

Figura 1 – Aplicația malware din Google Play

Sub numele de detecție Android/Spy.Inazigram, 13 aplicații care au o componenta malware au fost descoperite în magazinul oficial Google Play. Aplicațiile subtilizau datele de autentificare din Instagram și le trimiteau către un server de la distanță.

Deși țara de origine părea a fi Turcia, unele aplicații au utilizat versiunea în engleză pentru a viza utilizatorii Instagram din întreaga lume. Per total, aplicațiile malware au fost instalate de 1,5 milioane de utilizatori. După notificarea realizată de ESET, toate cele 13 aplicații au fost scoase din magazin.

Cum funcționează atacul?

Toate aplicațiile au folosit aceeași tehnică de subtilizare a datelor de autentificare din Instagram și de trimitere a acestora la un server, la distanță. Pentru a atrage utilizatorii către descărcarea lor, aplicațiile promiteau că vor crește rapid numărul de fani, like-uri și de comentarii pe contul de Instagram.

În mod ironic, conturile compromise au fost folosite pentru a crește numărul de fani ai altor utilizatori.

Figura 2 – “Instagram Followers” promițând că mărește engagementul pe Instagram

După cum se arată în următorul screenshot al uneia dintre aceste aplicații, "Instagram Followers", aceasta cerea utilizatorului să se conecteze printr-un ecran ce semăna cu cel de la Instagram. Datele de conectare introduse în formular erau apoi trimise la serverul atacatorului sub forma unui text simplu. După introducerea datelor de autentificare, utilizatorului îi era imposibil să se conecteze, după cum se explică într-un ecran ce prezenta eroarea de tip "parolă incorectă".

Figura 3 – Ecran ce mimează autentificarea pe Instagram

Figura 4 – Eroare “Parolă incorectă” care împiedică utilizatorul să se autentifice

Ecranul de eroare avea, de asemenea, o notă care sugera utilizatorului să viziteze site-ul oficial al Instagram și să-și verifice contul pentru a se conecta la aplicația terță. Pe măsură ce victimele erau notificate cu privire la tentativa neautorizată de conectare în numele lor și erau îndemnate să-și verifice contul de îndată ce deschideau aplicația Instagram, nota malițioasă își propunea să reducă suspiciunea în avans.

Figura 5 – Notificarea oficială Instagram cu privire la încercările neautorizate de autentificare

În cazul în care atacatorii aveau succes, iar utilizatorul nu recunoștea amenințarea după ce primea o notificare din partea aplicației Instagram, informațiile furate puteau fi folosite spre o nouă utilizare.

Ce se întâmpla cu datele de conectare furate?

S-ar putea să vă întrebați la ce folosesc câteva (sute de mii) date de conectare de Instagram furate?

În afară de posibilitatea de a utiliza conturile compromise pentru răspândirea spam-ului și reclamelor, există, de asemenea, mai multe "modele de afaceri", în cadrul cărora cele mai valoroase bunuri sunt fanii, aprecierile și comentariile.

În cercetarea noastră, am urmărit serverele la care erau trimise datele de autentificare offline, care mai apoi erau distribuite pe site-urile care vând diverse pachete de boostere de popularitate pentru Instagram.

 

Figura 6 – Site-uri web care vând fani Instagram

Următoarea schema explică modul de operare:

 Cum să vă protejați?

Dacă ați descărcat una dintre aceste aplicații, veți găsi una dintre pictogramele sale în secțiunea de aplicații instalate. Ați primit, de asemenea, un anunț din partea Instagram privind încercarea de autentificare în contul dumneavoastră, așa cum se arată în Fig. 4. În cele din urmă, s-ar putea să observați că numărul persoanelor urmărite și al celor care vă urmăresc pe dvs. să fi crescut brusc sau s-ar putea să primiți răspunsuri la comentarii pe care nu le-ați postat niciodată.

Pentru a vă curăța dispozitivul, dezinstalați aplicațiile menționate mai sus găsite în managerul de aplicații sau folosiți o soluție fiabilă de securitate mobilă pentru a elimina amenințările în numele dumneavoastră.

Pentru a vă securiza contul de Instagram, schimbați imediat parola. În cazul în care utilizați aceeași parolă pe mai multe platforme, schimbați-le și acolo. Este cunoscut faptul că autorii de malware încearcă să aibă acces la alte servicii web utilizând acreditările furate, astfel că noi vă sfătuim să utilizați o parolă diferită pentru fiecare cont.

Pentru a preveni compromiterea conturilor de social media, există câteva sfaturi pe care trebuie să le țineți minte atunci când descărcați aplicații terțe din Google Play:

Nu introduceți informațiile sensibile în formulare de autentificare neautorizate ale aplicațiilor terțe. Pentru a verifica dacă o aplicație este de încredere, verificați popularitatea dezvoltatorului prin numărul de instalări, citiți evaluările pe care le are aplicația și cel mai important, conținutul  comentariilor.

Cu toate acestea, nu trageți concluzii pripite, deoarece multe dintre aceste evaluări și recenzii nu pot fi de încredere. Dacă aveți dubii, optați pentru aplicații de înaltă calitate, marcate ca „Top Developer” sau găsite în categoria „Editor’s Choice”.

Nu în ultimul rând, utilizați o soluție de securitate mobilă cu reputație pentru a vă proteja dispozitivul.

Mostre

Numele pachetului

Instalări

Hash

com.vavetech.superapp 100,000 - 500,000 84E2A528571CE26735CC6EFE2F20D024F67B6F4F
com.instatakipcibegeni 100,000 - 500,000 F956C5ECFDB9939E98A3FEDEA877E2DAF91DA0CF
takipcivebegeni.app 100,000 - 500,000 E278821B390C3DD589A8B62E2CCA73E4AAFEEA98
com.tr.takdrfsfaewewe 10,000 - 50,000 470B9B632F4B66487010725CA84BC4923BFE5898
com.tr.instracker 1,000 – 5,000 BA5E2937C57726CC8CCFCBA4034F02D6DD5BBC17
com.tr.nsgrfllowers 1,000 – 5,000 F32C674DBA78A748256991A7DBB2409FDA0CF302
com.tr.sdfgbvcderfdf 1,000 – 5,000 80E0A0704D256A0D4A02AD894A6206D93010E554
com.tr.yfASTngdYRl 500 – 1,000 91CE430EA41F04C38EEB150F5E96928A0448263F
com.tr.insfollowfreeinsta 500 – 1,000 D73F268D46DDD3213B82DC288428701EA09FB949
com.tkpcikahramani 500 – 1,000 B5AE6DBF283E0ABA19A896395F86C83808026D68
com.tr.aerfhasFYHDJGXMS 500 – 1,000 2D0AFB6B4BBB9C04BE826CA119CD6368A32A1289
com.tr.aedgcawwwSSSjkm 100 - 500 1757E843C80533C5DC7CF0699BB1D55147FFB349
com.tr.aerfateharydar 0 - 5 E79050338EC9BBDC70DB8CAA4DC08EF3DAF0BA11

 

LUKAS STEFANKO
CORESPONDENT INDEPENDENT

Georgiana March 17, 2017

Lasa un comentariu