McAfee 的移動(dòng)研究人員最近在一款應(yīng)用程序中發(fā)現(xiàn)了新的 Android 惡意軟件，旨在增加 Instagram 關(guān)注者。

Instagram 已經(jīng)成為一個(gè)擁有超過 10 億月活用戶的平臺(tái)。Instagram 的許多用戶都希望增加他們的關(guān)注者數(shù)量，因?yàn)殛P(guān)注者數(shù)量已經(jīng)成為一個(gè)人受歡迎程度的象征。Instagram 的龐大用戶群是不容被網(wǎng)絡(luò)犯罪分子忽視的。

增加關(guān)注者

互聯(lián)網(wǎng)上有很多增加 Instagram 關(guān)注者數(shù)量的應(yīng)用程序。其中一些應(yīng)用程序是需要用戶提供賬號(hào)密碼的，有些應(yīng)用程序只需要提供賬戶即可，這些應(yīng)用程序安全嗎？

可疑的應(yīng)用程序

許多 YouTube 視頻都錄制教程教授用戶如何使用這些應(yīng)用程序，視頻中使用自己的賬戶登陸應(yīng)用程序，就能夠看到關(guān)注者的數(shù)量正在明顯增長。

使用方式一般都比較簡單：

• 使用賬戶與密碼進(jìn)行登錄
• 通過 Instagram API 檢查憑據(jù)
• 登錄成功后即可使用對(duì)應(yīng)功能，如增加關(guān)注者、增加喜歡、增加評(píng)論等
• 輸入想要獲得多少關(guān)注者

增加關(guān)注者

執(zhí)行后，每隔幾秒就會(huì)對(duì)應(yīng)增加關(guān)注者。

新增關(guān)注

如何推廣

在 Telegram 頻道中就會(huì)存在推廣的 YouTube 視頻：

Telegram 推廣

甚至還有超過 19 萬訂閱者的大 V 博主也發(fā)布此類視頻，評(píng)論區(qū)部分人表示他們的憑據(jù)被盜。

評(píng)論區(qū)

惡意軟件行為

惡意軟件并不申請(qǐng)很多權(quán)限，看起來似乎沒有什么危害。用戶啟動(dòng)程序后，只能通過 Android Webview 看到以下網(wǎng)站：

惡意網(wǎng)站重定向

惡意網(wǎng)站重定向

應(yīng)用程序本身不包含很多功能，展示完廣告后就會(huì)立即顯示惡意網(wǎng)站。所有的惡意行為都在網(wǎng)站后臺(tái)執(zhí)行，而不在應(yīng)用程序中執(zhí)行。

部分代碼

該網(wǎng)站聲稱使用 Instagram 的 API 保證憑據(jù)安全的，但實(shí)際上并不是這樣。研究人員發(fā)現(xiàn)使用該應(yīng)用程序幾分鐘后，就收到了來自土耳其的異常登錄嘗試，而且嘗試登錄的設(shè)備并不是 Instagram 的服務(wù)器而是一臺(tái)型號(hào)為 LON-L29 的安卓手機(jī)。

異常登錄通知

實(shí)際上，應(yīng)用程序使用用戶的憑據(jù)來增加其他用戶的關(guān)注者數(shù)量，讓每個(gè)使用應(yīng)用程序的用戶之間互相關(guān)注。

影響范圍

被發(fā)現(xiàn)的最多的推廣是印地語，其次是英語與葡萄牙語，印地語的大多數(shù)視頻瀏覽量都超過了 100 次。安全研究人員測試的賬號(hào)一天就增長了四百個(gè)關(guān)注，這意味著有四百個(gè)用戶向攻擊者發(fā)送了憑據(jù)。

結(jié)論

許多 Instagram 用戶希望增加他們的關(guān)注者和喜歡，攻擊者也就利用了這一點(diǎn)來發(fā)動(dòng)攻擊。憑據(jù)泄露后很可能會(huì)存在二次攻擊，例如通過相同的憑據(jù)登錄其他網(wǎng)站等。