移動應(yīng)用程序目前已經(jīng)成為最有效的攻擊向量之一，這些網(wǎng)絡(luò)罪犯最喜歡的一種方法便是流行應(yīng)用程序的濫用。自己審視下是否在安裝一款需求連接到社交應(yīng)用賬戶憑證，電子郵件賬戶，云存儲服務(wù)的應(yīng)用時有靜下來細(xì)細(xì)考慮?

近日，一款名為“InstaCare – Who cares with me”(誰看了你的Instagram賬戶)的惡意應(yīng)用通過Google Play應(yīng)用商店，以及其他第三方應(yīng)用商店流通。來自德國Peppersoft公司的David Layer-Reiss發(fā)現(xiàn)了該威脅，如果想看看更詳細(xì)的分析可以查看它的分析博文。

該應(yīng)用服務(wù)作為一個hook，引誘Instagram用戶。假稱能夠讓你得知誰看過的Instagram賬戶，但實(shí)際上它濫用連接Instagram的身份驗證進(jìn)程。

事實(shí)上，對于大部分應(yīng)用程序來說使用API或者授權(quán)協(xié)議是一種常態(tài)，比如使用OAuth 來驗證第三方應(yīng)用程序。對于用戶來說，這樣做非常的方便，可以在不同的應(yīng)用和服務(wù)之間使用相同的憑證來進(jìn)行身份驗證。

這里最大的問題是，針對這個特性，一些應(yīng)用可以惡意獲取用戶的信息，例如他們的個人信息，聯(lián)系人，再或者可以盜取他們的憑證。

這種方法非常成功。在這個特別的案例中，該應(yīng)用的安卓版本就有超過10萬臺設(shè)備安裝量，并且超過2萬的評論信息。在這些評論信息中大部分都提示了需要進(jìn)行支付才能夠正常工作。

就Google Play應(yīng)用商店來說，我們還可以看到一些用戶抱怨安裝出現(xiàn)的一些問題。

非常有趣的是，該應(yīng)用是通過了蘋果安全檢測并發(fā)布!盡管它對控制更嚴(yán)謹(jǐn)，但是并沒有提到該作者有過發(fā)布惡意軟件歷史的信息。

攻擊向量

該攻擊將Javascript代碼安置在Instagram登錄頁面的提交按鈕中

該代碼獲取輸入字段名““username”以及“password”的內(nèi)容，將其以“,-UPPA-, ”的格式存儲在“str”局部變量中，之后調(diào)用processHTML函數(shù)(存儲有收集到的數(shù)據(jù))

也會從用戶設(shè)備中收集其他信息，然后通過POST請求發(fā)回到C&C服務(wù)器

“hash”參數(shù)的值為上圖中的數(shù)據(jù)加上Instagram用戶名及密碼，這個值使用AES 128進(jìn)行加密后使用base64進(jìn)行編碼，加密密鑰是由服務(wù)器生成。

在 iOS版本同樣使用AES 128，但分組模塊使用CBC替代ECB

因此，它使用字符串“IOS123SECRETKEYS”作為初始矢量。

打開后，它會迫使用戶登錄 Instagram

用戶名和密碼發(fā)送到服務(wù)器之后，還會發(fā)送一些元數(shù)據(jù)

因為我們已經(jīng)獲得ID，可以使用David修改后Java代碼解密其中內(nèi)容。我們僅需要修改初始化加密類。

通過輸入“hash”參數(shù)的內(nèi)容，我們可以解密數(shù)據(jù)，發(fā)送并找到已經(jīng)發(fā)送到服務(wù)器上的信息。正如我們料想的一樣， Instagram用戶名和密碼同樣包含在這個列表中。

這些用戶名和密碼稍后將用于向用戶的Instagram賬戶發(fā)送垃圾消息。

本文提到的威脅是由Kaspersky實(shí)驗室檢查發(fā)現(xiàn)的HEUR:Trojan-Spy.AndroidOS.Instealy.a 以及 HEUR:Trojan-Spy.IphoneOS.Instealy.a.

結(jié)論

移動環(huán)境已經(jīng)成為了網(wǎng)絡(luò)罪犯們最喜好的目標(biāo)之一，社交網(wǎng)絡(luò)的出現(xiàn)在方便朋友間樂趣的同時，無疑也方便了惡意軟件的分發(fā)，在安裝應(yīng)用之前最好是多多思考下。一般官方網(wǎng)站都不提供的服務(wù)，你一個第三方平臺是通過何種方法去實(shí)現(xiàn)的呢?