Google je uklonio devet Android aplikacija iz Play prodavnice, uključujući onu sa milionima korisnika, nakon što je otkriveno da krade poverljive podatke za prijavljivanje korisnika na Facebook. Međutim, one koje su ostale na telefonima i dalje rade i nastavljaju da prave problem milionima korisnika bez njihovog znanja.
Otkrivene i detaljno opisane 1. jula od analitičara malvera iz kompanije Dr.Web, aplikacije, opisane kao "trojanski program za krađu", raširene su kao neškodljiv softver i instalirane su gotovo 6 miliona puta. Za razliku od nekih prethodnih slučajeva kada su otkrivene zlonamerne Android aplikacije, sve su aplikacije u ovom slučaju pružale legitimne usluge kao što su uređivanje i uokvirivanje fotografija, trening i fitnes, horoskopi i uklanjanje smeća.
Aplikacije uključuju PIP Photo sa do 5 miliona instalacija; Processing Photo sa do 500.000 instalacija; Rubbish Cleaner, Horoscope Daily i Inwell Fitness sa do 100.000 instalacija; i App Lock Keep sa do 50.000 instaliranja. Lockit Master, Horoscope Pi i App Lock Manager zaokružili su listu.
U ovom slučaju, korisnicima je ponuđena mogućnost da onemoguće oglase u aplikacijama prijavljivanjem na svoj Facebook nalog. Analitičari su primetili da su "oglasi u nekim aplikacijama zaista bili prisutni i da je ovaj manevar želeo da dodatno podstakne vlasnike Android uređaja da izvrše potrebne radnje".
Korisnicima aplikacija koji su odabrali opciju tada su predstavljeni standardni Facebook podaci za prijavu, ali s razlikom: Originalna Facebook stranica za prijavljivanje prikazana je u WebView sa JavaScript-om takođe učitanim da otme unete akreditive za prijavu.
Kada bi korisnici uneli svoje podatke za prijavu na Facebook, JavaScript bi zatim poslao akreditive na server, dok korisnici o tome ništa ne bi znali, pošto su se uspešno prijavili na Facebook. Nakon što su se žrtve prijavile na svoj nalog, Trojanac je takođe ukrao kolačiće iz trenutnih sesija autorizacije.
Iako su oni koji stoje iza aplikacija ciljali Facebook naloge, mogli su da ciljaju naloge i na drugim uslugama. "Napadači su lako mogli da promene podešavanja trojanaca i da im nalože da učitaju "web stranicu druge legitimne usluge", objasnili su analitičari. "Mogli su čak da koriste i potpuno lažni obrazac za prijavu koji se nalazi na phishing lokaciji. Tako su trojanci mogli da se koriste za krađu prijava i lozinki sa bilo koje usluge".
Google još nije dao javnu izjavu o aplikacijama, iako je primećeno da su aplikacije uklonjene iz prodavnice. Osim aplikacija, sa Google Play prodavnice su proterani i timovi koji su ih napravili.
