?[[417778]]?

研究人員發(fā)現(xiàn)了一種名為FlyTrap的新型Android木馬，該木馬通過第三方應(yīng)用商店中被操縱的應(yīng)用、側(cè)載應(yīng)用和被劫持的Facebook帳戶導(dǎo)致10,000多名用戶收到攻擊。

在周一發(fā)布的一份報(bào)告中，Zimperium的zLabs移動(dòng)威脅研究團(tuán)隊(duì)寫道，自3月以來，F(xiàn)lyTrap已通過Google Play商店和第三方應(yīng)用程序市場(chǎng)傳遞的惡意應(yīng)用程序傳播到至少144個(gè)國(guó)家或地區(qū)。研究人員表示，該惡意軟件是一系列特洛伊木馬的一部分，它可以利用社交工程接管Facebook賬戶。現(xiàn)在研究人員已經(jīng)追蹤到了在越南工作的運(yùn)營(yíng)商。

會(huì)話劫持活動(dòng)最初是通過Google Play和第三方應(yīng)用商店發(fā)布的。在Zimperium zLabs提醒之后，Google Play刪除了這些惡意應(yīng)用程序。

然而Zimperium指出，它們?nèi)匀环植荚谝恍┑谌健⒉话踩膽?yīng)用程序商店，“這使得側(cè)載應(yīng)用程序到移動(dòng)端點(diǎn)和用戶數(shù)據(jù)的風(fēng)險(xiǎn)更加突出?！?/p>

以下是九種不良應(yīng)用程序：

• GG代金券(com.luxcarad.cardid)
• 為歐洲足球投票(com.gardenguides.plantingfree)
• GG優(yōu)惠券廣告(com.free_coupon.gg_free_coupon)
• GG代金券廣告(com.m_application.app_moi_6)
• GG代金券(com.free.voucher)
• Chatfuel(com.ynsuper.chatfuel)
• 凈息票(com.free_coupon.net_coupon)
• 凈息票(com.movie.net_coupon)
• 2021年歐洲杯官方網(wǎng)站(com.euro2021)

你是如何被FlyTrap劫持的

威脅行為者使用多種方式：免費(fèi)的Netflix優(yōu)惠券代碼、Google AdWords優(yōu)惠券代碼，以及投票選出最佳足球隊(duì)或球員等等。這些活動(dòng)或是福利不僅誘人，制作的畫面也很精良，這就使得威脅行為者能夠更好地隱藏他們想做的事情。

zLabs研究人員解釋說：“就像任何用戶操作一樣，高質(zhì)量網(wǎng)頁設(shè)計(jì)和看起來像官方的登錄界面是引誘用戶可能進(jìn)行泄露敏感信息行為的常見策略?！薄霸谶@種情況下，當(dāng)用戶登錄他們的官方帳戶時(shí)，F(xiàn)lyTrap木馬就可以進(jìn)行惡意劫持會(huì)話信息?！?/p>

這些不良應(yīng)用程序聲稱提供Netflix和Google AdWords優(yōu)惠券代碼，或者讓用戶在在7月11日結(jié)束的歐洲足球錦標(biāo)賽(Eurofa EURO 2020:四年一度的歐洲足球錦標(biāo)賽)上投票選出他們最喜歡的球隊(duì)和球員。但首先，在惡意軟件應(yīng)用程序提供承諾的活動(dòng)之前，目標(biāo)用戶被告知必須使用他們的Facebook帳戶登錄以投票或收集優(yōu)惠券代碼或積分。

毫無疑問，沒有免費(fèi)的Netflix或AdWords優(yōu)惠券或代碼，也沒有給最喜歡的足球隊(duì)投票的活動(dòng)。惡意應(yīng)用程序只是在用戶輸入Facebook登陸憑據(jù)之后拋出一條消息說優(yōu)惠券或代碼在“兌換后和消費(fèi)前”已過期，從而讓自己看起來沒那么“惡意”，如下面的屏幕截圖所示。

??

FlyTrap開始行動(dòng)

當(dāng)一個(gè)誤入陷阱的Android用戶分輸入其Facebook憑據(jù)后，這些應(yīng)用程序就會(huì)開始收集包括以下內(nèi)容的詳細(xì)信息：

• Facebook ID
• 地點(diǎn)
• 電子郵件地址
• IP地址
• 與Facebook帳戶關(guān)聯(lián)的Cookie和token

然后，該木馬使用受害帳戶進(jìn)行傳播，使其看起來像是合法所有者分享的合法帖子，zLabs研究人員表示：“這些被劫持的Facebook會(huì)話可以通過與該木馬鏈接的個(gè)人消息濫用受害者的社會(huì)信譽(yù)傳播惡意軟件，或是使用受害者的地理位置詳細(xì)信息進(jìn)行虛假宣傳活動(dòng)?！薄斑@些社會(huì)工程技術(shù)在數(shù)字互聯(lián)世界中非常有效，并且經(jīng)常被網(wǎng)絡(luò)犯罪分子用來將惡意軟件從一個(gè)受害者傳播到另一個(gè)受害者?！?/p>

事實(shí)就是這樣沒錯(cuò)，類似的活動(dòng)還包括SilentFade，該惡意軟件多年來一直以Facebook的廣告平臺(tái)為目標(biāo)，并從用戶的廣告帳戶中竊取了400萬美元，同時(shí)利用受感染的帳戶來宣傳惡意廣告、竊取瀏覽器cookie等。最近，一個(gè)類似的惡意軟件——一個(gè)名為CopperStealer的密碼和cookie竊取軟件——自2019年以來一直在危害亞馬遜、蘋果、谷歌和Facebook帳戶，然后利用它們進(jìn)行更多其他的網(wǎng)絡(luò)犯罪活動(dòng)。

FlyTrap工作原理

FlyTrap使用JavaScript注入，通過登錄原始合法域來劫持會(huì)話。它的惡意應(yīng)用程序在WebView中打開合法域，然后注入惡意JavaScript代碼，從而提取目標(biāo)信息——即cookie、用戶帳戶詳細(xì)信息、位置和IP地址。

FlyTrap的命令和控制(C2)服務(wù)器使用竊取的登錄憑據(jù)來授權(quán)訪問收集的數(shù)據(jù)。但更糟糕的是：zLabs發(fā)現(xiàn)C2服務(wù)器有一個(gè)錯(cuò)誤配置，這就可以被利用向“互聯(lián)網(wǎng)上的任何人”公開整個(gè)被盜會(huì)話cookie數(shù)據(jù)庫(kù)，這將進(jìn)一步危及受害者。

zLabs提供了下面的地圖，圖中顯示FlyTrap危及了144個(gè)國(guó)家或地區(qū)的數(shù)千名受害者。

研究人員指出，從移動(dòng)設(shè)備竊取憑證并不是什么新鮮事，畢竟移動(dòng)終端“通常是社交媒體帳戶、銀行應(yīng)用程序、企業(yè)工具等未受保護(hù)的登錄信息的寶箱”。

實(shí)踐證明，F(xiàn)lyTrap的工具和技術(shù)都非常有效，如果一些惡意行為者使用它并對(duì)其進(jìn)行改造以獲取更重要的信息，這絕對(duì)是意料之中的事情。

利用人性的弱點(diǎn)

盡管不是很情愿，安全專家不得不佩服FlyTrap的創(chuàng)造者。應(yīng)用程序安全公司NTT Application Security的戰(zhàn)略副總裁Setu Kulkarni稱該惡意軟件是“幾個(gè)‘漏洞’的巧妙組合：利用人性的弱點(diǎn)讓人們來不及思考就忍不住點(diǎn)進(jìn)去、一個(gè)允許JS注入的軟件漏洞，大量可公開訪問的元數(shù)據(jù)(例如位置)，以及最終可以通過與谷歌、Netflix等公司進(jìn)行巧妙但可疑的關(guān)聯(lián)，獲得人們的信任?！?/p>

Setu Kulkarni在周一告訴Threatpost，這還不是最糟糕的。這種類型的木馬可以產(chǎn)生的網(wǎng)絡(luò)效應(yīng)是在用戶之間進(jìn)行傳播。Zimperium的what-if scenario可能會(huì)比FlyTrap更深入，以使其能夠獲取銀行憑證等更重要的信息“如果這種類型的木馬現(xiàn)在作為一種服務(wù)提供，或者如果它迅速轉(zhuǎn)變?yōu)獒槍?duì)成千上萬用戶的勒索軟件呢?”“問題的起點(diǎn)沒有改變，這一切都始于用戶被引誘而點(diǎn)擊某個(gè)鏈接。這就引出了一個(gè)問題——為了整個(gè)客戶群的安全，針對(duì)這種現(xiàn)象谷歌和蘋果積極行動(dòng)起來?！?/p>

App Snice Nevices公司的基礎(chǔ)設(shè)施總監(jiān)Shawn Smith周一告訴Threatpost，F(xiàn)lyTrap及其同類軟件表明，應(yīng)當(dāng)讓用戶加深這樣的印象即“在點(diǎn)擊鏈接之前，需要做一些調(diào)查研究。”

“這種惡意軟件主要通過承諾優(yōu)惠券和提供為用戶最感興趣事情的投票鏈接來傳播。其他類似的情況包括Twitter丑聞，該丑聞涉及知名賬戶被黑客入侵并被用來引誘人們“給”錢。這些攻擊背后暴露出的社會(huì)工程方面知識(shí)的缺失是非常危險(xiǎn)和最令人擔(dān)憂的。

“僅靠保護(hù)我們的技術(shù)，我們能做的只有這么多，用戶需要接受教育發(fā)現(xiàn)社會(huì)工程攻擊，這樣他們才能更好地保護(hù)自己和他們的朋友?！?/p>

如何保護(hù)您的Android

Zimperum終端安全產(chǎn)品營(yíng)銷總監(jiān)理查德梅利克周一告訴Threatpost，Android用戶可以禁止安裝來自不受信任來源的任何應(yīng)用程序，從而降低感染的機(jī)會(huì)。

他在一封電子郵件中說，雖然該設(shè)置在大多數(shù)Android設(shè)備上默認(rèn)是關(guān)閉的，但社會(huì)工程學(xué)技術(shù)“是很擅長(zhǎng)誘使用戶允許安裝的”。

要在Android上禁用未知來源，請(qǐng)轉(zhuǎn)到設(shè)置，選擇“安全性”，并確保未選擇“未知來源”選項(xiàng)。

Melick還建議用戶為所有社交媒體帳戶和任何其他有權(quán)訪問敏感和私人數(shù)據(jù)的帳戶啟用多重身份驗(yàn)證(MFA)。

他建議說：“雖然這不會(huì)阻止這種黑客行為，但它會(huì)為用戶的個(gè)人資料添加額外的安全保護(hù)層，例如基于地理的警報(bào)”，可能會(huì)告訴你“該帳戶正試圖從越南登錄?！?/p>

如果Android用戶懷疑Facebook帳戶與威脅行為者有關(guān)聯(lián)，Melick表示要按照Facebook的說明注銷所有設(shè)備上的所有帳戶，立即更改其密碼并啟用MFA(如果尚未使用)。

梅利克建議，總的來說，要對(duì)那些看起來很誘人的應(yīng)用程序持懷疑態(tài)度?！翱偟膩碚f，就是要了解應(yīng)用程序想要的是什么?！薄叭绻枰B接您的社交媒體帳戶以獲取優(yōu)惠券或交易，請(qǐng)暫停并詢問原因。該網(wǎng)站/優(yōu)惠券公司現(xiàn)在可以使用該數(shù)據(jù)做什么?他們可以用您的帳戶做什么?他們真的需要這些信息才能跟你交易嗎?要知道，一旦建立連接，您的數(shù)據(jù)可以在未經(jīng)您同意的情況下輕松獲取和使用?！?/p>

本文翻譯自：https://threatpost.com/android-malware-flytrap-facebook/168463/如若轉(zhuǎn)載，請(qǐng)注明原文地址。