В ноябре прошлого года вредоносное приложение под названием InstaAgent было замечено за сохранением имен пользователей и паролей пользователей Instagram, пересылая их на подозрительный удаленный сервер. После того как деятельность приложения стала известна, Apple удалила его из App Store, но теперь, похоже, Туркер Байрам, разработчик приложения, добился одобрения двух новых приложений от Apple (и Google), оба из которых крадут информацию об учетных записях Instagram.

Разработчик Peppersoft Дэвид Л-Р, обнаруживший коварную функцию кражи паролей в первом приложении InstaAgent, на прошлой неделе опубликовал сообщение, в котором описал новые приложения для кражи паролей, созданные Байрамом. Приложения называются «Who Cares With Me — InstaDetector» и «InstaCare — Who Cares With Me«, и они доступны на устройствах Android и iOS.

Оригинальное приложение InstaAgent привлекло пользователей Instagram, обещая отслеживать людей, которые посещали их аккаунт в Instagram, а два новых приложения делают аналогичные обещания. Оба приложения утверждают, что отображают список пользователей, которые наиболее часто взаимодействуют с аккаунтом Instagram, и просят пользователей войти в систему, используя имя пользователя и пароль Instagram.

Дэвид Л-Р изучил новые приложения Байрама и обнаружил подозрительный пакет HTTPS, что позволило ему раскрыть сложный процесс шифрования, используемый для скрытой отправки имен пользователей и паролей на сторонний сервер и сокрытия улик. Он обнаружил, что обе версии приложения, как для Android, так и для iOS, отправляют информацию об учетной записи Instagram на неизвестные серверы.

При более внимательном рассмотрении приложения для iOS я обнаружил, что оно крадет пароль и имя пользователя Instagram, чтобы зашифрованно отправлять их на «неизвестные» серверы. Алгоритм «кражи паролей» и шифрование кажутся такими же, как в «InstaCare — Who cares with me?», новом приложении для iOS от разработчика «InstaAgent», вредоносное поведение которого я обнаружил несколько дней назад. Рабочий PoC (Proof of concept для версии iOS) можно найти здесь.

Множество отзывов в iOS App Store утверждают, что после использования вредоносных приложений Instagram их аккаунты были скомпрометированы, а в их лентах появлялись спам-фотографии с рекламой этих приложений. Как и в случае с InstaAgent, приложения занимают видные места в списках Top Charts в некоторых странах, но не в США.

Способность Байрама добиться одобрения новых приложений от Apple после того, как его признали виновным в сборе информации об учетных записях Instagram, свидетельствует о явных проблемах в политике Apple по проверке приложений. Неясно, как разработчик, уличенный в эксплуатации вредоносного приложения, смог провести дополнительные приложения через радар Apple.

Существуют десятки, если не сотни, сторонних приложений низкого качества, которые обещают предоставить пользователям Instagram подписчиков и другие бонусы, которых следует избегать, чтобы не стать жертвой кражи информации учетной записи. Instagram предупреждает о недопустимости установки сторонних приложений, которые не соответствуют его Правилам сообщества, и заявляет, что такие приложения «вероятно, являются попытками использовать вашу учетную запись в ненадлежащем порядке».

(Спасибо, Şizofrenik!)