Google har tagit bort nio appar från Google Play efter att det upptäckts att apparna stulit användares inloggningsuppgifter till Facebook.
Upptäckt gjordes den 1 juli av analytiker på Dr. Web.
Apparna var fungerande appar och uppmanade användare att logga in på sitt Facebook-konto för att inaktivera annonser i apparna. Det såg ut som en vanlig Facebook-inloggning men den äkta Facebook-inloggningssidan visades i WebView med ett JavaScript som kapade de angivna inloggningsuppgifterna.
När användare angav sina Facebook-inloggningsuppgifter skickade JavaScriptet autentiseringsuppgifterna till angriparens kommando-och-kontrollserver och efter att offren loggat in på sitt konto stal trojanen också cookies från de aktuella auktoriseringssessionerna.
De berörda apparna var PIP Photo med upp till 5 miljoner nedladdningar; Processing Photo med ca 500,000 nedladdningar; Rubbish Cleaner, Horoscope Daily och Inwell Fitness med upp till 100,000 nedladdningar; och App Lock Keep med upp till 50,000 nedladdningar samt Lockit Master, Horoscope Pi och App Lock Manager.
Även om apparna riktade in sig mot Facebook-konton kunde de ha riktats mot andra tjänster. Angriparna skulle ha kunnat ändrat trojanernas inställningar och beordrat dem att ladda webbsidan för en annan legitim tjänst. Således kunde trojanerna ha använts för att stjäla inloggningar och lösenord från vilken tjänst som helst. ”
Apparna har tagits bort från Google play och utvecklarna av apparna har stängts av.