L’editor di foto Blender su Google Play Store è un malware; non scaricatela per nessun motivo, potrebbe compromettere i vostri dati personali.
Google avverte: state attenti agli editor foto su Android
Un’applicazione software che si trova sul Google Play Store si spaccia per un’app per l’editor di foto. Tuttavia, contiene un codice che ruba le credenziali di Facebook dell’utente per eseguire potenzialmente campagne pubblicitarie per conto di quest’ultimo, con le informazioni di pagamento. L’app si chiama “Blender Photo Editor-Easy Photo Background Editor” ed è stata installata oltre 5.000 volte fino ad oggi. La scorsa settimana sono state trovate anche app dannose simili con oltre 500.000 installazioni sul Play Store.
Come molte app Android, il software in questione include l’accesso a tutte le tipiche funzionalità di Facebook. Tuttavia, utilizza anche le credenziali del social network per fare alcune cose sospette.
Tatyana Shishkova, un’analista di malware Android presso Kaspersky, ha scoperto questa settimana l’app “trojan” che è ancora disponibile sul Google Play Store, al momento della stesura.
L’app contiene codice dannoso, identico a quello trovato in app simili “editor di foto” la scorsa settimana da Maxime Ingrao, un ricercatore di sicurezza presso la società di sicurezza informatica dei pagamenti mobili Evina.
Queste app richiedono agli utenti Android di accedere tramite il proprio account Facebook, ma poi raccolgono silenziosamente le credenziali tramite comandi JavaScript crittografati nascosti all’interno del software.
Ergo, richiedono all’API Facebook Graph di sbirciare nell’account Facebook dell’utente e cercare eventuali campagne pubblicitarie e informazioni di pagamento memorizzate.
Il malware, secondo Ingrao, “è molto interessato alle campagne pubblicitarie che potresti aver fatto e se hai una carta di credito registrata“. Ciò consentirebbe all’hacker dietro le app di creare le proprie campagne pubblicitarie tramite le credenziali di Facebook dell’utente e le informazioni di pagamento collegate.
Ingrao aveva precedentemente scoperto app dannose simili chiamate “Magic Photo Lab – Photo Editor” e “Pix Photo Motion Edit 2021” con quest’ultimo che ha ottenuto oltre 500.000 installazioni. Da allora entrambe sono state rimosse dal Play Store di BigG.
Il ricercatore ha condiviso alcune intuizioni con i colleghi di BleepingComputer su come ha scoperto che qualcosa non andava con queste app.
Ho notato prima il codice sospetto facendo un’analisi dinamica. Ho notato che WebView stava eseguendo JavaScript per recuperare le credenziali. Quindi ho scaricato il codice e ho ricodificato la funzione che decodifica i testi all’interno del codice, è così che ho trovato il JavaScript eseguito e le chiamate all’API Facebook Graph.
Anche BleepingComputer ha analizzato l’APK per “Blender Photo Editor-Easy Photo Background Editor”, che è ancora presente sullo store del colosso di Mountain View e può confermare di aver visto del codice dannoso all’interno del firmware.
Gli utenti Android dovrebbero diffidare di tali questi “editor di foto” visti di recente sul Google Play Store. Coloro che hanno già installato tali software dovrebbero disinstallare immediatamente l’app, ripulire il proprio smartphone e ripristinare le proprie credenziali di Facebook.
Sembra che l’azienda statunitense abbia rimosso Blender in seguito alle numerose segnlalazioni. Fate attenzione.