Android木馬通過社交媒體劫持攻擊140個(gè)國家/地區(qū)的10,000名受害者
2021-08-21
來源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實(shí)驗(yàn)室
員工培訓(xùn)不足
安全公司 Zimperium 發(fā)現(xiàn)了一個(gè)通過社交媒體劫持、利用第三方應(yīng)用程序商店和加載應(yīng)用程序傳播的新惡意軟件活動。
具體內(nèi)容
網(wǎng)絡(luò)安全公司Zimperium 發(fā)現(xiàn)了一種新的 Android 木馬,該公司周一發(fā)布會了一份報(bào)告,解釋了該惡意軟件如何能夠攻擊144個(gè)國家/地區(qū)的10000多名受害者。
自 3 月以來,這個(gè)被 Zimperium 研究人員命名為 FlyTrap 的木馬已經(jīng)能夠通過“社交媒體劫持、第三方應(yīng)用程序商店和加載應(yīng)用程序” 三種方式進(jìn)行惡意軟件傳播。
Zimperium 的 zLabs 移動威脅研究團(tuán)隊(duì)首先確定了該惡意軟件,并發(fā)現(xiàn)它使用社交工程技巧來破壞 Facebook 帳戶。該惡意軟件通過感染 Android 設(shè)備來劫持社交媒體帳戶,允許攻擊者從受害者那里收集信息,例如 Facebook ID、位置、電子郵件地址和 IP 地址以及與 Facebook 帳戶相關(guān)聯(lián)的 cookie 和令牌。
Zimperium 研究人員寫道:“這些被劫持的 Facebook 會話可用于通過帶有木馬鏈接的個(gè)人消息濫用,損害受害者的社會信譽(yù),以及使用受害者的地理位置詳細(xì)信息進(jìn)行宣傳或虛假宣傳活動,從而傳播惡意軟件?!?/p>
“這些社會工程技術(shù)在數(shù)字連接的世界中非常有效,并且經(jīng)常被網(wǎng)絡(luò)犯罪分子用來將惡意軟件從一個(gè)受害者傳播到另一個(gè)受害者。攻擊者利用了幾個(gè)用戶會覺得很有吸引力的主題,例如免費(fèi)的 Netflix 優(yōu)惠券代碼、Google AdWords優(yōu)惠券代碼,并投票選出最佳足球球隊(duì)或球員。”
研究人員將惡意軟件歸咎于總部設(shè)在越南的團(tuán)體,并表示他們能夠使用 Google Play 和其他應(yīng)用程序商店分發(fā)它。谷歌收到了一份關(guān)于惡意軟件的報(bào)告,對其進(jìn)行了驗(yàn)證并從商店中刪除了所有應(yīng)用程序。
但報(bào)告指出,其中三個(gè)應(yīng)用程序仍可在“第三方、不安全的應(yīng)用程序存儲庫”中使用。
一旦受害者通過欺騙性設(shè)計(jì)被說服下載該應(yīng)用程序,該應(yīng)用程序就會敦促用戶參與并最終要求人們輸入他們的 Facebook 帳戶信息,以便對某事進(jìn)行投票或收集優(yōu)惠券代碼。輸入所有內(nèi)容后,該應(yīng)用程序會將受害者帶到一個(gè)屏幕,顯示優(yōu)惠券已過期。
研究人員解釋說,該惡意軟件使用一種稱為“JavaScript 注入”的技術(shù),該技術(shù)允許應(yīng)用程序在“配置了注入 JavaScript 代碼的能力的 WebView”中打開合法 URL。然后,該應(yīng)用程序通過注入惡意 JS 代碼來提取 cookie、用戶帳戶詳細(xì)信息、位置和 IP 地址等信息。
Zimperium 建議 Android 用戶找到方法檢查他們設(shè)備上是否有任何應(yīng)用程序有 FlyTrap,并指出這些被破壞的帳戶可以成為僵尸網(wǎng)絡(luò)用于其他目的。
“FlyTrap 只是旨在竊取憑據(jù)的針對移動設(shè)備的持續(xù)、主動威脅的一個(gè)例子。移動端點(diǎn)通常是社交媒體帳戶、銀行應(yīng)用程序、企業(yè)工具等未受保護(hù)的登錄信息的寶庫,”Zimperium 研究人員說。
“FlyTrap 使用的工具和技術(shù)并不新穎,但由于這些設(shè)備缺乏先進(jìn)的移動端點(diǎn)安全性,因此非常有效。惡意方無需花費(fèi)太多時(shí)間就可以獲取 FlyTrap 或任何其他木馬并對其進(jìn)行修改以針對更多目標(biāo)關(guān)鍵信息。
NTT 應(yīng)用安全副總裁 Setu Kulkarni 表示,F(xiàn)lyTrap 是少數(shù)漏洞的”巧妙組合“,并利用了大量開放訪問的元數(shù)據(jù),例如位置。以及可以獲得的隱性信任通過與谷歌、Netflix 等公司的巧妙而可疑的關(guān)聯(lián)。
”這甚至不是最令人擔(dān)憂的一點(diǎn)——相關(guān)的一點(diǎn)是這種類型的木馬可以通過從一個(gè)用戶傳播到多個(gè)用戶而產(chǎn)生的網(wǎng)絡(luò)效應(yīng)。此外,正如 Zimperium 的調(diào)查結(jié)果所述——這種木馬可以進(jìn)化為滲透銀行憑證等更多重要信息的部分,“庫爾卡尼說。
”不幸的是,假設(shè)此情景并沒有就此結(jié)束。假設(shè)這種類型的木馬現(xiàn)在作為服務(wù)提供,或者假設(shè)這會迅速轉(zhuǎn)變?yōu)獒槍Τ汕先f用戶的勒索軟件。 “這一切都始于一個(gè)被引誘點(diǎn)擊鏈接的用戶。這引出了一個(gè)問題——谷歌和蘋果是不是應(yīng)該為他們的整個(gè)客戶群做更多的事情來解決這個(gè)問題呢?”
如何保護(hù)智能手機(jī)的安全
研究人員建議用戶例行交叉檢查設(shè)備上所安裝的應(yīng)用,查看并刪除任何未經(jīng)自己同意或在自己不知情的情況下安裝的惡意或未知或不需要的應(yīng)用。
這類安卓惡意軟件可用于攻擊用戶設(shè)備,因此如果用戶擁有安卓設(shè)備,則強(qiáng)烈建議用戶執(zhí)行以下步驟以確保設(shè)備安全:
永遠(yuǎn)不要從第三方應(yīng)用商店安裝應(yīng)用、
確保你已經(jīng)開啟了 “Google Play Protect” 功能。
啟用設(shè)置中的“驗(yàn)證應(yīng)用”功能。
在不使用的情況下,禁用“未知來源”。
安裝著名網(wǎng)絡(luò)安全廠商推出的反病毒和安全軟件。
例行備份手機(jī)內(nèi)容。
使用加密應(yīng)用保護(hù)手機(jī)上的敏感信息。
永遠(yuǎn)不要打開意料之外的文檔,即使它看似來自你所認(rèn)識的人。
通過 PIN 或密碼鎖保護(hù)設(shè)備。
及時(shí)應(yīng)用最新安全補(bǔ)丁。