보안 기업 닥터웹(Dr.Web)이 페이스북 로그인 정보를 탈취하는 악성 앱 10종을 발표했다. 10종 가운데 9종은 구글플레이에서 사용할 수 있으며 다운로드 수는 580만 회에 달한다.
이번에 확인된 응용 프로그램 특징은 모두 기능 자체는 아무런 불편 없이 사용할 수 있다는 것. 페이스북 사용자 정보를 훔치는 앱을 사용하면 인앱 광고를 비활성화하기 위해 페이스북 계정으로 로그인하는 걸 요구한다고 한다. 버튼(LOGIN WITH FACEBOOK)을 누르면 페이스북 로그인 폼으로 전환된다. 이 로그인 폼 자체도 정품이지만 이 로그인 폼에 입력한 사용자명과 암호는 악성코드에 의해 공격자 서버로 전송된다고 한다.
이들 9종 다운로드 수는 585만 6,010회로 이 가운데 PIP 포토(PIP Photo)는 다운로드 횟수 500만 회 이상으로 피해가 컸다고 한다. 이 앱에 포함된 악성코드는 5종류로 확인되고 있으며 이 가운데 3종은 안드로이드 네이티브 앱, 2종은 플루터(Flutter) 프레임워크로 작성했지만 사용자 데이터를 훔치는 코드에 대해 동일 파일 포맷 설정과 동일 자바스크립트 코드를 사용하고 있기 때문에 닥터웹은 이들 5종(Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.15, Android.PWS.Facebook.17, Android.PWS.Facebook.18)을 동일 악성코드 변종이라고 언급했다. 이 가운데 Android.PWS.Facebook.15의 경우 로그 파일 일부를 중국어로 생성하는 추가 기능을 포함하고 있어 닥터웹 측은 중국에서 만들어졌을 가능성이 있다고 지적하고 있다.
한편 현재 이들 앱 9종은 구글플레이에서 삭제된 상태다. 관련 내용은 이곳에서 확인할 수 있다.