下載免費 APP, Facebook 帳號竟被冒名進行網路釣魚詐騙、散發假貼文…最近趨勢科技發現惡名昭彰的 Facestealer 間諜程式在 Google Play 上再度利用 200 多款冒牌應用程式竊取使用者的 Facebook 登入憑證。
另外也發現了 40 多個冒牌的虛擬加密貨幣挖礦( coinmining )程式，宣稱提供虛擬加密貨幣的賺錢機會,誘騙使用者購買付費服務或點選廣告。除了引誘受害者購買假的雲端挖礦服務，還會試圖利用一些誘餌來騙取使用者的私密金鑰及其他虛擬加密貨幣相關的機敏資料。

最近我們發現 Google Play 上有多款應用程式專門竊取使用者的登入憑證和其他機敏資訊，例如私密金鑰。由於這些應用程式為數眾多且相當熱門 ,有的甚至累積數十萬次下載,或是擁有 4.5 顆星評價。另外還有冒牌挖礦程式,藉著捏造假評價宣稱已領到網站空投的 0.1 乙太幣(約 240 美元),藉以騙取錢包中的 100 美金,並進一步蒐集私密金鑰與助記詞。

以下我們深入研究幾個跟健身、相片編輯、濾鏡還有挖礦程式有關的惡意應用程式:

• Daily Fitness OL
• Enjoy Photo Editor
• Panorama Camera
• Photo Gaming Puzzle
• Swarm Photo
• Business Meta Manager
• Cryptomining Farm Your own Coin
  

專門竊取密碼的 Facestealer 間諜程式變種偽裝成健身、相片編輯等 200 多個應用程式

Facestealer 間諜程式最早是在 2021 年的一篇文章當中所披露，該文章詳細描述它如何在 Google Play 上利用冒牌應用程式竊取使用者的 Facebook 登入憑證。這些被偷的登入憑證將用來登入受害者的 Facebook 帳號以從事各種惡意活動，如：網路釣魚詐騙、散發假貼文、散發廣告。如同另一個名為「Joker」的行動惡意程式一樣，Facestealer 會經常修改程式碼，進而製造出許多變種。這個間諜程式從被發現以來，一直是 Google Play 的頭痛問題。

近期我們在研究行動惡意程式時發現了 200 多個 Facestealer 的冒牌應用程式，並已收錄到趨勢科技行動應用程式信譽評等服務 (MARS) 資料庫當中。