研究人員發(fā)現(xiàn)了一種名為FlyTrap的新型Android木馬，該木馬通過(guò)第三方應(yīng)用商店中被操縱的應(yīng)用、側(cè)載應(yīng)用和被劫持的Facebook帳戶導(dǎo)致10,000多名用戶收到攻擊。

　　在周一發(fā)布的一份報(bào)告中，Zimperium的zLabs移動(dòng)威脅研究團(tuán)隊(duì)寫(xiě)道，自3月以來(lái)，F(xiàn)lyTrap已通過(guò)Google Play商店和第三方應(yīng)用程序市場(chǎng)傳遞的惡意應(yīng)用程序傳播到至少144個(gè)國(guó)家或地區(qū)。研究人員表示，該惡意軟件是一系列特洛伊木馬的一部分，它可以利用社交工程接管Facebook賬戶?，F(xiàn)在研究人員已經(jīng)追蹤到了在越南工作的運(yùn)營(yíng)商。

　　會(huì)話劫持活動(dòng)最初是通過(guò)Google Play和第三方應(yīng)用商店發(fā)布的。在Zimperium zLabs提醒之后，Google Play刪除了這些惡意應(yīng)用程序。

　　然而Zimperium指出，它們?nèi)匀环植荚谝恍┑谌?、不安全的?yīng)用程序商店，“這使得側(cè)載應(yīng)用程序到移動(dòng)端點(diǎn)和用戶數(shù)據(jù)的風(fēng)險(xiǎn)更加突出?！?/p>

　　以下是九種不良應(yīng)用程序：

　　GG代金券（com.luxcarad.cardid）

　　為歐洲足球投票（com.gardenguides.plantingfree）

　　GG優(yōu)惠券廣告（com.free_coupon.gg_free_coupon）

　　GG代金券廣告（com.m_application.app_moi_6）

　　GG代金券（com.free.voucher）

　　Chatfuel（com.ynsuper.chatfuel）

　　凈息票（com.free_coupon.net_coupon）

　　凈息票（com.movie.net_coupon）

　　2021年歐洲杯官方網(wǎng)站（com.euro2021）

　　你是如何被FlyTrap劫持的

　　威脅行為者使用多種方式：免費(fèi)的Netflix優(yōu)惠券代碼、Google AdWords優(yōu)惠券代碼，以及投票選出最佳足球隊(duì)或球員等等。這些活動(dòng)或是福利不僅誘人，制作的畫(huà)面也很精良，這就使得威脅行為者能夠更好地隱藏他們想做的事情。

　　zLabs研究人員解釋說(shuō)：“就像任何用戶操作一樣，高質(zhì)量網(wǎng)頁(yè)設(shè)計(jì)和看起來(lái)像官方的登錄界面是引誘用戶可能進(jìn)行泄露敏感信息行為的常見(jiàn)策略?！薄霸谶@種情況下，當(dāng)用戶登錄他們的官方帳戶時(shí)，F(xiàn)lyTrap木馬就可以進(jìn)行惡意劫持會(huì)話信息?！?/p>

　　這些不良應(yīng)用程序聲稱(chēng)提供Netflix和Google AdWords優(yōu)惠券代碼，或者讓用戶在在7月11日結(jié)束的歐洲足球錦標(biāo)賽（Eurofa EURO 2020:四年一度的歐洲足球錦標(biāo)賽）上投票選出他們最喜歡的球隊(duì)和球員。但首先，在惡意軟件應(yīng)用程序提供承諾的活動(dòng)之前，目標(biāo)用戶被告知必須使用他們的Facebook帳戶登錄以投票或收集優(yōu)惠券代碼或積分。

　　毫無(wú)疑問(wèn)，沒(méi)有免費(fèi)的Netflix或AdWords優(yōu)惠券或代碼，也沒(méi)有給最喜歡的足球隊(duì)投票的活動(dòng)。惡意應(yīng)用程序只是在用戶輸入Facebook登陸憑據(jù)之后拋出一條消息說(shuō)優(yōu)惠券或代碼在“兌換后和消費(fèi)前”已過(guò)期，從而讓自己看起來(lái)沒(méi)那么“惡意”，如下面的屏幕截圖所示。

　　FlyTrap開(kāi)始行動(dòng)

　　當(dāng)一個(gè)誤入陷阱的Android用戶分輸入其Facebook憑據(jù)后，這些應(yīng)用程序就會(huì)開(kāi)始收集包括以下內(nèi)容的詳細(xì)信息：

　　Facebook ID

　　地點(diǎn)

　　電子郵件地址

　　IP地址

　　與Facebook帳戶關(guān)聯(lián)的Cookie和token

　　然后，該木馬使用受害帳戶進(jìn)行傳播，使其看起來(lái)像是合法所有者分享的合法帖子，zLabs研究人員表示：“這些被劫持的Facebook會(huì)話可以通過(guò)與該木馬鏈接的個(gè)人消息濫用受害者的社會(huì)信譽(yù)傳播惡意軟件，或是使用受害者的地理位置詳細(xì)信息進(jìn)行虛假宣傳活動(dòng)?！薄斑@些社會(huì)工程技術(shù)在數(shù)字互聯(lián)世界中非常有效，并且經(jīng)常被網(wǎng)絡(luò)犯罪分子用來(lái)將惡意軟件從一個(gè)受害者傳播到另一個(gè)受害者?！?/p>

　　事實(shí)就是這樣沒(méi)錯(cuò)，類(lèi)似的活動(dòng)還包括SilentFade，該惡意軟件多年來(lái)一直以Facebook的廣告平臺(tái)為目標(biāo)，并從用戶的廣告帳戶中竊取了400萬(wàn)美元，同時(shí)利用受感染的帳戶來(lái)宣傳惡意廣告、竊取瀏覽器cookie等。最近，一個(gè)類(lèi)似的惡意軟件——一個(gè)名為CopperStealer的密碼和cookie竊取軟件——自2019年以來(lái)一直在危害亞馬遜、蘋(píng)果、谷歌和Facebook帳戶，然后利用它們進(jìn)行更多其他的網(wǎng)絡(luò)犯罪活動(dòng)。

　　FlyTrap工作原理

　　FlyTrap使用JavaScript注入，通過(guò)登錄原始合法域來(lái)劫持會(huì)話。它的惡意應(yīng)用程序在WebView中打開(kāi)合法域，然后注入惡意JavaScript代碼，從而提取目標(biāo)信息——即cookie、用戶帳戶詳細(xì)信息、位置和IP地址。

　　FlyTrap的命令和控制（C2）服務(wù)器使用竊取的登錄憑據(jù)來(lái)授權(quán)訪問(wèn)收集的數(shù)據(jù)。但更糟糕的是：zLabs發(fā)現(xiàn)C2服務(wù)器有一個(gè)錯(cuò)誤配置，這就可以被利用向“互聯(lián)網(wǎng)上的任何人”公開(kāi)整個(gè)被盜會(huì)話cookie數(shù)據(jù)庫(kù)，這將進(jìn)一步危及受害者。

　　zLabs提供了下面的地圖，圖中顯示FlyTrap危及了144個(gè)國(guó)家或地區(qū)的數(shù)千名受害者。

　　研究人員指出，從移動(dòng)設(shè)備竊取憑證并不是什么新鮮事，畢竟移動(dòng)終端“通常是社交媒體帳戶、銀行應(yīng)用程序、企業(yè)工具等未受保護(hù)的登錄信息的寶箱”。

　　實(shí)踐證明，F(xiàn)lyTrap的工具和技術(shù)都非常有效，如果一些惡意行為者使用它并對(duì)其進(jìn)行改造以獲取更重要的信息，這絕對(duì)是意料之中的事情。

　　利用人性的弱點(diǎn)

　　盡管不是很情愿，安全專(zhuān)家不得不佩服FlyTrap的創(chuàng)造者。應(yīng)用程序安全公司NTT Application Security的戰(zhàn)略副總裁Setu Kulkarni稱(chēng)該惡意軟件是“幾個(gè)‘漏洞’的巧妙組合：利用人性的弱點(diǎn)讓人們來(lái)不及思考就忍不住點(diǎn)進(jìn)去、一個(gè)允許JS注入的軟件漏洞，大量可公開(kāi)訪問(wèn)的元數(shù)據(jù)（例如位置），以及最終可以通過(guò)與谷歌、Netflix等公司進(jìn)行巧妙但可疑的關(guān)聯(lián)，獲得人們的信任。”

　　Setu Kulkarni在周一告訴Threatpost，這還不是最糟糕的。這種類(lèi)型的木馬可以產(chǎn)生的網(wǎng)絡(luò)效應(yīng)是在用戶之間進(jìn)行傳播。Zimperium的what-if scenario可能會(huì)比FlyTrap更深入，以使其能夠獲取銀行憑證等更重要的信息“如果這種類(lèi)型的木馬現(xiàn)在作為一種服務(wù)提供，或者如果它迅速轉(zhuǎn)變?yōu)獒槍?duì)成千上萬(wàn)用戶的勒索軟件呢？”“問(wèn)題的起點(diǎn)沒(méi)有改變，這一切都始于用戶被引誘而點(diǎn)擊某個(gè)鏈接。這就引出了一個(gè)問(wèn)題——為了整個(gè)客戶群的安全，針對(duì)這種現(xiàn)象谷歌和蘋(píng)果積極行動(dòng)起來(lái)?！?/p>

　　App Snice Nevices公司的基礎(chǔ)設(shè)施總監(jiān)Shawn Smith周一告訴Threatpost，F(xiàn)lyTrap及其同類(lèi)軟件表明，應(yīng)當(dāng)讓用戶加深這樣的印象即“在點(diǎn)擊鏈接之前，需要做一些調(diào)查研究?！?/p>

　　“這種惡意軟件主要通過(guò)承諾優(yōu)惠券和提供為用戶最感興趣事情的投票鏈接來(lái)傳播。其他類(lèi)似的情況包括Twitter丑聞，該丑聞涉及知名賬戶被黑客入侵并被用來(lái)引誘人們”給“錢(qián)。這些攻擊背后暴露出的社會(huì)工程方面知識(shí)的缺失是非常危險(xiǎn)和最令人擔(dān)憂的。

　　”僅靠保護(hù)我們的技術(shù)，我們能做的只有這么多，用戶需要接受教育發(fā)現(xiàn)社會(huì)工程攻擊，這樣他們才能更好地保護(hù)自己和他們的朋友?！?/p>

　　如何保護(hù)您的Android

　　Zimperum終端安全產(chǎn)品營(yíng)銷(xiāo)總監(jiān)理查德梅利克周一告訴Threatpost，Android用戶可以禁止安裝來(lái)自不受信任來(lái)源的任何應(yīng)用程序，從而降低感染的機(jī)會(huì)。

　　他在一封電子郵件中說(shuō)，雖然該設(shè)置在大多數(shù)Android設(shè)備上默認(rèn)是關(guān)閉的，但社會(huì)工程學(xué)技術(shù)”是很擅長(zhǎng)誘使用戶允許安裝的“。

　　要在Android上禁用未知來(lái)源，請(qǐng)轉(zhuǎn)到設(shè)置，選擇”安全性“，并確保未選擇”未知來(lái)源“選項(xiàng)。

　　Melick還建議用戶為所有社交媒體帳戶和任何其他有權(quán)訪問(wèn)敏感和私人數(shù)據(jù)的帳戶啟用多重身份驗(yàn)證（MFA）。

　　他建議說(shuō)：”雖然這不會(huì)阻止這種黑客行為，但它會(huì)為用戶的個(gè)人資料添加額外的安全保護(hù)層，例如基于地理的警報(bào)“，可能會(huì)告訴你”該帳戶正試圖從越南登錄?！?/p>

　　如果Android用戶懷疑Facebook帳戶與威脅行為者有關(guān)聯(lián)，Melick表示要按照Facebook的說(shuō)明注銷(xiāo)所有設(shè)備上的所有帳戶，立即更改其密碼并啟用MFA（如果尚未使用）。

　　梅利克建議，總的來(lái)說(shuō)，要對(duì)那些看起來(lái)很誘人的應(yīng)用程序持懷疑態(tài)度?！笨偟膩?lái)說(shuō)，就是要了解應(yīng)用程序想要的是什么?！啊比绻枰B接您的社交媒體帳戶以獲取優(yōu)惠券或交易，請(qǐng)暫停并詢問(wèn)原因。該網(wǎng)站/優(yōu)惠券公司現(xiàn)在可以使用該數(shù)據(jù)做什么？他們可以用您的帳戶做什么？他們真的需要這些信息才能跟你交易嗎？要知道，一旦建立連接，您的數(shù)據(jù)可以在未經(jīng)您同意的情況下輕松獲取和使用?！?/p>