研究人員發(fā)現(xiàn)了一種名為FlyTrap的新型Android木馬，該木馬通過(guò)第三方應(yīng)用商店中被操縱的應(yīng)用、側(cè)載應(yīng)用和被劫持的Facebook帳戶(hù)導(dǎo)致10,000多名用戶(hù)收到攻擊。

　　在周一發(fā)布的一份報(bào)告中,，Zimperium的zLabs移動(dòng)威脅研究團(tuán)隊(duì)寫(xiě)道，自3月以來(lái),，F(xiàn)lyTrap已通過(guò)Google Play商店和第三方應(yīng)用程序市場(chǎng)傳遞的惡意應(yīng)用程序傳播到至少144個(gè)國(guó)家或地區(qū),。研究人員表示，該惡意軟件是一系列特洛伊木馬的一部分,，它可以利用社交工程接管Facebook賬戶(hù)?，F(xiàn)在研究人員已經(jīng)追蹤到了在越南工作的運(yùn)營(yíng)商,。

　　會(huì)話(huà)劫持活動(dòng)最初是通過(guò)Google Play和第三方應(yīng)用商店發(fā)布的。在Zimperium zLabs提醒之后,，Google Play刪除了這些惡意應(yīng)用程序,。

　　然而Zimperium指出，它們?nèi)匀环植荚谝恍┑谌?、不安全的?yīng)用程序商店,，“這使得側(cè)載應(yīng)用程序到移動(dòng)端點(diǎn)和用戶(hù)數(shù)據(jù)的風(fēng)險(xiǎn)更加突出?！?/p>

　　以下是九種不良應(yīng)用程序：

　　GG代金券（com.luxcarad.cardid）

　　為歐洲足球投票（com.gardenguides.plantingfree）

　　GG優(yōu)惠券廣告（com.free_coupon.gg_free_coupon）

　　GG代金券廣告（com.m_application.app_moi_6）

　　GG代金券（com.free.voucher）

　　Chatfuel（com.ynsuper.chatfuel）

　　凈息票（com.free_coupon.net_coupon）

　　凈息票（com.movie.net_coupon）

　　2021年歐洲杯官方網(wǎng)站（com.euro2021）

　　你是如何被FlyTrap劫持的

　　威脅行為者使用多種方式：免費(fèi)的Netflix優(yōu)惠券代碼,、Google AdWords優(yōu)惠券代碼，以及投票選出最佳足球隊(duì)或球員等等,。這些活動(dòng)或是福利不僅誘人,，制作的畫(huà)面也很精良，這就使得威脅行為者能夠更好地隱藏他們想做的事情,。

　　zLabs研究人員解釋說(shuō)：“就像任何用戶(hù)操作一樣,，高質(zhì)量網(wǎng)頁(yè)設(shè)計(jì)和看起來(lái)像官方的登錄界面是引誘用戶(hù)可能進(jìn)行泄露敏感信息行為的常見(jiàn)策略?！薄霸谶@種情況下,，當(dāng)用戶(hù)登錄他們的官方帳戶(hù)時(shí)，F(xiàn)lyTrap木馬就可以進(jìn)行惡意劫持會(huì)話(huà)信息,?！?/p>

　　這些不良應(yīng)用程序聲稱(chēng)提供Netflix和Google AdWords優(yōu)惠券代碼，或者讓用戶(hù)在在7月11日結(jié)束的歐洲足球錦標(biāo)賽（Eurofa EURO 2020:四年一度的歐洲足球錦標(biāo)賽）上投票選出他們最喜歡的球隊(duì)和球員,。但首先,，在惡意軟件應(yīng)用程序提供承諾的活動(dòng)之前，目標(biāo)用戶(hù)被告知必須使用他們的Facebook帳戶(hù)登錄以投票或收集優(yōu)惠券代碼或積分,。

　　毫無(wú)疑問(wèn),，沒(méi)有免費(fèi)的Netflix或AdWords優(yōu)惠券或代碼，也沒(méi)有給最喜歡的足球隊(duì)投票的活動(dòng),。惡意應(yīng)用程序只是在用戶(hù)輸入Facebook登陸憑據(jù)之后拋出一條消息說(shuō)優(yōu)惠券或代碼在“兌換后和消費(fèi)前”已過(guò)期,，從而讓自己看起來(lái)沒(méi)那么“惡意”，如下面的屏幕截圖所示,。

　　FlyTrap開(kāi)始行動(dòng)

　　當(dāng)一個(gè)誤入陷阱的Android用戶(hù)分輸入其Facebook憑據(jù)后,，這些應(yīng)用程序就會(huì)開(kāi)始收集包括以下內(nèi)容的詳細(xì)信息：

　　Facebook ID

　　地點(diǎn)

　　電子郵件地址

　　IP地址

　　與Facebook帳戶(hù)關(guān)聯(lián)的Cookie和token

　　然后，該木馬使用受害帳戶(hù)進(jìn)行傳播,，使其看起來(lái)像是合法所有者分享的合法帖子,，zLabs研究人員表示：“這些被劫持的Facebook會(huì)話(huà)可以通過(guò)與該木馬鏈接的個(gè)人消息濫用受害者的社會(huì)信譽(yù)傳播惡意軟件，或是使用受害者的地理位置詳細(xì)信息進(jìn)行虛假宣傳活動(dòng),?！薄斑@些社會(huì)工程技術(shù)在數(shù)字互聯(lián)世界中非常有效,，并且經(jīng)常被網(wǎng)絡(luò)犯罪分子用來(lái)將惡意軟件從一個(gè)受害者傳播到另一個(gè)受害者?！?/p>

　　事實(shí)就是這樣沒(méi)錯(cuò),，類(lèi)似的活動(dòng)還包括SilentFade，該惡意軟件多年來(lái)一直以Facebook的廣告平臺(tái)為目標(biāo),，并從用戶(hù)的廣告帳戶(hù)中竊取了400萬(wàn)美元,，同時(shí)利用受感染的帳戶(hù)來(lái)宣傳惡意廣告、竊取瀏覽器cookie等,。最近,，一個(gè)類(lèi)似的惡意軟件——一個(gè)名為CopperStealer的密碼和cookie竊取軟件——自2019年以來(lái)一直在危害亞馬遜、蘋(píng)果,、谷歌和Facebook帳戶(hù),，然后利用它們進(jìn)行更多其他的網(wǎng)絡(luò)犯罪活動(dòng)。

　　FlyTrap工作原理

　　FlyTrap使用JavaScript注入,，通過(guò)登錄原始合法域來(lái)劫持會(huì)話(huà),。它的惡意應(yīng)用程序在WebView中打開(kāi)合法域，然后注入惡意JavaScript代碼,，從而提取目標(biāo)信息——即cookie,、用戶(hù)帳戶(hù)詳細(xì)信息、位置和IP地址,。

　　FlyTrap的命令和控制（C2）服務(wù)器使用竊取的登錄憑據(jù)來(lái)授權(quán)訪(fǎng)問(wèn)收集的數(shù)據(jù),。但更糟糕的是：zLabs發(fā)現(xiàn)C2服務(wù)器有一個(gè)錯(cuò)誤配置，這就可以被利用向“互聯(lián)網(wǎng)上的任何人”公開(kāi)整個(gè)被盜會(huì)話(huà)cookie數(shù)據(jù)庫(kù),，這將進(jìn)一步危及受害者,。

　　zLabs提供了下面的地圖，圖中顯示FlyTrap危及了144個(gè)國(guó)家或地區(qū)的數(shù)千名受害者,。

　　研究人員指出,，從移動(dòng)設(shè)備竊取憑證并不是什么新鮮事，畢竟移動(dòng)終端“通常是社交媒體帳戶(hù),、銀行應(yīng)用程序,、企業(yè)工具等未受保護(hù)的登錄信息的寶箱”。

　　實(shí)踐證明,，F(xiàn)lyTrap的工具和技術(shù)都非常有效,，如果一些惡意行為者使用它并對(duì)其進(jìn)行改造以獲取更重要的信息，這絕對(duì)是意料之中的事情,。

　　利用人性的弱點(diǎn)

　　盡管不是很情愿,，安全專(zhuān)家不得不佩服FlyTrap的創(chuàng)造者。應(yīng)用程序安全公司NTT Application Security的戰(zhàn)略副總裁Setu Kulkarni稱(chēng)該惡意軟件是“幾個(gè)‘漏洞’的巧妙組合：利用人性的弱點(diǎn)讓人們來(lái)不及思考就忍不住點(diǎn)進(jìn)去,、一個(gè)允許JS注入的軟件漏洞,，大量可公開(kāi)訪(fǎng)問(wèn)的元數(shù)據(jù)（例如位置）,，以及最終可以通過(guò)與谷歌,、Netflix等公司進(jìn)行巧妙但可疑的關(guān)聯(lián),，獲得人們的信任?！?/p>

　　Setu Kulkarni在周一告訴Threatpost,，這還不是最糟糕的。這種類(lèi)型的木馬可以產(chǎn)生的網(wǎng)絡(luò)效應(yīng)是在用戶(hù)之間進(jìn)行傳播,。Zimperium的what-if scenario可能會(huì)比FlyTrap更深入,，以使其能夠獲取銀行憑證等更重要的信息“如果這種類(lèi)型的木馬現(xiàn)在作為一種服務(wù)提供，或者如果它迅速轉(zhuǎn)變?yōu)獒槍?duì)成千上萬(wàn)用戶(hù)的勒索軟件呢,？”“問(wèn)題的起點(diǎn)沒(méi)有改變,，這一切都始于用戶(hù)被引誘而點(diǎn)擊某個(gè)鏈接。這就引出了一個(gè)問(wèn)題——為了整個(gè)客戶(hù)群的安全,，針對(duì)這種現(xiàn)象谷歌和蘋(píng)果積極行動(dòng)起來(lái),。”

　　App Snice Nevices公司的基礎(chǔ)設(shè)施總監(jiān)Shawn Smith周一告訴Threatpost,，F(xiàn)lyTrap及其同類(lèi)軟件表明,，應(yīng)當(dāng)讓用戶(hù)加深這樣的印象即“在點(diǎn)擊鏈接之前，需要做一些調(diào)查研究,?！?/p>

　　“這種惡意軟件主要通過(guò)承諾優(yōu)惠券和提供為用戶(hù)最感興趣事情的投票鏈接來(lái)傳播。其他類(lèi)似的情況包括Twitter丑聞,，該丑聞涉及知名賬戶(hù)被黑客入侵并被用來(lái)引誘人們”給“錢(qián),。這些攻擊背后暴露出的社會(huì)工程方面知識(shí)的缺失是非常危險(xiǎn)和最令人擔(dān)憂(yōu)的。

　　”僅靠保護(hù)我們的技術(shù),，我們能做的只有這么多,，用戶(hù)需要接受教育發(fā)現(xiàn)社會(huì)工程攻擊，這樣他們才能更好地保護(hù)自己和他們的朋友,?！?/p>

　　如何保護(hù)您的Android

　　Zimperum終端安全產(chǎn)品營(yíng)銷(xiāo)總監(jiān)理查德梅利克周一告訴Threatpost，Android用戶(hù)可以禁止安裝來(lái)自不受信任來(lái)源的任何應(yīng)用程序,，從而降低感染的機(jī)會(huì),。

　　他在一封電子郵件中說(shuō)，雖然該設(shè)置在大多數(shù)Android設(shè)備上默認(rèn)是關(guān)閉的,，但社會(huì)工程學(xué)技術(shù)”是很擅長(zhǎng)誘使用戶(hù)允許安裝的“,。

　　要在Android上禁用未知來(lái)源，請(qǐng)轉(zhuǎn)到設(shè)置,，選擇”安全性“,，并確保未選擇”未知來(lái)源“選項(xiàng),。

　　Melick還建議用戶(hù)為所有社交媒體帳戶(hù)和任何其他有權(quán)訪(fǎng)問(wèn)敏感和私人數(shù)據(jù)的帳戶(hù)啟用多重身份驗(yàn)證（MFA）。

　　他建議說(shuō)：”雖然這不會(huì)阻止這種黑客行為,，但它會(huì)為用戶(hù)的個(gè)人資料添加額外的安全保護(hù)層,，例如基于地理的警報(bào)“，可能會(huì)告訴你”該帳戶(hù)正試圖從越南登錄,?！?/p>

　　如果Android用戶(hù)懷疑Facebook帳戶(hù)與威脅行為者有關(guān)聯(lián)，Melick表示要按照Facebook的說(shuō)明注銷(xiāo)所有設(shè)備上的所有帳戶(hù),，立即更改其密碼并啟用MFA（如果尚未使用）,。

　　梅利克建議，總的來(lái)說(shuō),，要對(duì)那些看起來(lái)很誘人的應(yīng)用程序持懷疑態(tài)度,。”總的來(lái)說(shuō),，就是要了解應(yīng)用程序想要的是什么,。“”如果需要連接您的社交媒體帳戶(hù)以獲取優(yōu)惠券或交易,，請(qǐng)暫停并詢(xún)問(wèn)原因,。該網(wǎng)站/優(yōu)惠券公司現(xiàn)在可以使用該數(shù)據(jù)做什么？他們可以用您的帳戶(hù)做什么,？他們真的需要這些信息才能跟你交易嗎,？要知道，一旦建立連接,，您的數(shù)據(jù)可以在未經(jīng)您同意的情況下輕松獲取和使用,。“