Facebookos jelszavakat lop a GhostTeam vírus

A Facebook fiókokra is veszélyes GhostTeam kártékony program több mint 50 olyan mobil alkalmazásban volt kimutatható, amelyek a hivatalos Google Play áruházba is felkerültek.
 

Sajnos már nem számít szokatlan jelenségnek az, amikor a biztonsági cégek arról számolnak be, hogy a Google Play áruházban kártékony alkalmazásokra akadtak. A napokban is ez történt, amikor az Avast és a Trend Micro szakemberei egy olyan károkozót lepleztek le, amely eddig 53 androidos szoftverben volt kimutatható. A GhostTeam néven emlegetett ártalmas kód már 2017 áprilisában is jelen lehetett a Google alkalmazásboltjában, és azóta fertőzte az okostelefonokat, táblagépeket.
 
A GhostTeam több lépcsőben, meglehetősen alattomosan fertőz. Először ugyanis egy teljesen ártalmatlan, legitim funkciókkal rendelkező alkalmazás formájában kerül fel a rendszerre azáltal, hogy egy ilyen appot a felhasználó letölt és telepít. Majd egy kis idő múlva ez az alkalmazás önálló életre kel, és kapcsolódik egy kiszolgálóhoz, amelyről egy további szoftvert szerez be. Emellett hamis üzeneteket is megjelenít annak érdekében, hogy a felhasználó megtévesztésével különféle engedélyekhez, jogosultságokhoz jusson.
 
Amint a második fertőzési fázis is lezajlik, akkor a károkozó rögtön, meglehetősen agresszív és bosszantó módon hirdetéseket kezd megjeleníteni. De ez még mindig csak a kezdet, ugyanis van ennél problémásabb jellemzője is a szerzeménynek.
 
Veszélyben a Facebook fiókok
 
A GhostTeam egy nagyon fontos képessége, hogy alkalmas Facebook profilokhoz tartozó hitelesítő adatok kikémlelésére, illetve kiszivárogtatására. Mindezt igencsak trükkösen hajtja végre, ugyanis nem azzal a gyakori technikával él, amivel a hivatalos Facebook appot meghamisíthatná. Ehelyett azt figyeli, hogy a felhasználó mikor kezd facebookozni. Ekkor gyorsan megjelenít egy saját ablakot, benne a közösségi oldal bejelentkező felületével. A trükk lényege, hogy ebbe az oldalba a kártevő beilleszt egy olyan JavaScript kódot, amely a bejelenetkezéskor lementi a felhasználó által megadott hitelesítő adatokat, amiket a GhostTeam egy kis idő múlva feltölt a vezérlőszerverére.  
A Google cselekedett, de már későn
 
A GhostTeammel fertőzött mobil alkalmazásokat a Google eltávolította a Play áruházból. Azonban az appok még sok készüléken megtalálhatók lehetnek. A Trend Micro közzétette a problémás szoftverek listáját, és azt tanácsolta, hogy aki telepítette valamely appot, az mihamarabb távolítsa el azt. Emellett egy fertőzést követően célszerű megváltoztatni a Facebook jelszót, és bevetni a kétfaktoros hitelesítés adta lehetőségeket.