Facestealer-varianter forkledd som trenings- og fotoredigeringsapper

Det er snakk om over 200 falske apper på Google Play, og siden flere av dem har blitt installert over 100.000 ganger, kan konsekvensene bli store for svært mange. Spionprogramvaren Facestealer ble for første gang dokumentert tilbake til juli 2021 i en rapport fra Dr.Web, som i detaljer forklarte hvordan brukernavn og passord til Facebook ble stjålet ved hjelp av falske apper på Google Play.

De stjålne Facebook-brukerne kunne deretter bli brukt til å kompromittere Facebook-brukerne for alt fra falske innlegg, annonseroboter, nettfiske og løsepengevirus. I likhet med spionprogramvaren Joker, endrer Facestealer koden seg ofte. Det har ført til mange varianter, som også gjør den skadelige programvaren vanskeligere å oppdage. Siden juli 2021 har Facestealer-programvaren frekventert i Google Play gjennom stadig nye falske apper.

Fellesnevneren til Facestealer-appene er at de er designet for å stjele brukerinformasjon. Ved å injisere JavaScript-kode og så samle inn informasjonskapsler etter at app-brukerne har logget seg på, blir alt fra brukernavn og passord, krypteringsnøkler og annen personinformasjon stjålet.

Falske krypto-apper samler inn nøkler og fraser

Trend Micro oppdaget også mer enn 40 forskjellige falske apper som utga seg for å være for utvinning av kryptovaluta, men som er designet for å stjele til seg krypteringsnøkler og mnemoniske fraser ved å friste med lukrative kryptovaluta-inntekter via fristende bannerannonser og rimelige betalingstjenester.

Da forskningsteamet til Trend Micro begynte å studere en av disse nye krypto-appene, oppdaget de ingen annonser eller forespørsler etter sensitiv informasjon eller betaling. Det var først da de klikket på «Koble til lommebok»-knappen i appen at alarmbjellene begynte å ringe. Her ble de bedt om å skrive inn sin private nøkkel, som er den digitale signaturen som brukes sammen med en algoritme for å kryptere og dekryptere data. Med tilgang til din private nøkkel, er det fritt frem for vedkommende å tømme din digitale lommebok for kryptovaluta. Det som er ekstra skummelt er at terskelen for å utvikle slike tjenester blir stadig lavere. De fleste av de falske krypto-appene ble utviklet ved hjelp av Kodular, som er en gratis lav-kode-plattform for enkel utvikling av mobilapper. Ingen kostnad for å utvikle appen og begrenset med kode-kunnskap for å utvikle.

- Facestealer-apper utgir seg gjerne som enkle verktøy, som for eksempel en treningsapp, en fotoredigeringsapp eller en Virtual Private Network (VPN)-app. Det store volumet av slike apper og det enorme antallet av brukere som enkelt lar seg friste av de, og da spesielt de som er gratis å ta i bruk, øker sannsynligheten dramatisk for den falske appens suksess. Og på grunn av Facebooks håndtering av informasjonskapsler, tror vi at denne typen for cyberkriminalitet og svindel vil fortsette å være en utfordring på Google Play, sier Myrvold.

Tips og råd for å unngå å bli utsatt

Trend Micro har lenge advart mot å laste ned apper fra tredjepartskilder, noe som er mulig for alle som bruker en Android-telefon i dag. Android-apper som ikke kan lastes ned fra Google Play bør man holde seg langt unna. I tillegg kan det være et godt råd å lese anmeldelsene til en app før man laster den ned. Og da spesielt de negative tilbakemeldingene, som kan inneholde viktige advarsler, alvorlige bekymringer eller negative erfaringer. Det kan også være en god ide å søke opp app-utvikleren på nett. Mistenkelige nettsider, negative tilbakemeldinger og lav app-score kan være en advarsel mot å laste ned appen.