研究人员发觉了一种名叫FlyTrap的新式Android木马病毒,该病毒根据第三方应用商店中被控制的运用、侧载应用和遭劫持的Facebook账号造成10,000多位客户接到进攻。
在周一公布的一份报告书中,Zimperium的zLabs挪动危害研究精英团队写到,自3月至今,FlyTrap已根据Google Play商店和第三方应用程序流程销售市场传送的故意应用程序散播到最少144个国家或地域。研究人员表明,该恶意程序是一系列特洛伊木马的一部分,它可以运用社交媒体工程项目接手Facebook帐户。如今研究人员早已跟踪到了在越南地区工作中的营运商。
对话挟持主题活动起初是根据Google Play和第三方应用商店公布的。在Zimperium zLabs提示以后,Google Play删除了这种故意应用程序。
殊不知Zimperium强调,他们依然遍布在一些第三方、不安全的应用程序商店,“这促使侧载应用程序到挪动节点和客户信息的风险性更为突显。”
下列是九种欠佳应用程序:
- GG抵用券(com.luxcarad.cardid)
- 为西甲足球网络投票(com.gardenguides.plantingfree)
- GG优惠劵广告宣传(com.free_coupon.gg_free_coupon)
- GG抵用券广告宣传(com.m_application.app_moi_6)
- GG抵用券(com.free.voucher)
- Chatfuel(com.ynsuper.chatfuel)
- 净息票(com.free_coupon.net_coupon)
- 净息票(com.movie.net_coupon)
- 2021年世界杯官网(com.euro2021)
你是怎样被FlyTrap挟持的
危害个人行为者应用各种方法:完全免费的Netflix优惠劵编码、Google AdWords优惠劵编码,及其网络投票选取最好球队或足球运动员这些。这种主题活动或者褔利不但诱惑,制做的画质也很精湛,这就促使危害个人行为者可以能够更好地掩藏她们想要做的事儿。
zLabs研究人员表述说:“如同一切客户实际操作一样,高品质网页制作和看上去像官方网的登录界面是诱惑客户很有可能开展泄漏比较敏感信息内容个人行为的普遍对策。”“在这样的情况下,当账号登录她们的官方网账号时,FlyTrap木马病毒就可以开展故意挟持对话信息内容。”
这种欠佳应用程序宣称给予Netflix和Google AdWords优惠劵编码,或是让客户在在7月11日完毕的西甲足球公开赛(Eurofa EURO 2020:四年一度的西甲足球公开赛)上网络投票挑选出她们最爱的足球队和足球运动员。但最先,在恶意程序应用程序给予服务承诺的主题活动以前,总体目标客户被告之务必应用它们的Facebook账号登陆以网络投票或搜集优惠劵编码或積分。
不容置疑,沒有完全免费的Netflix或AdWords优惠劵或编码,都没有给最爱的球队网络投票的主题活动。故意应用程序仅仅在客户键入Facebook登录凭证以后抛出去一条新闻说优惠劵或编码在“换取后和交易前”过期,进而让自已看上去没那麼“故意”,如下边的屏幕截屏所显示。
FlyTrap逐渐行为
当一个误进圈套的Android客户分键入其Facebook凭证后,这种应用程序便会逐渐搜集包含下列内容的详细资料:
- Facebook ID
- 地址
- 电子邮箱地址
- IP地址
- 与Facebook账号关系的Cookie和token
随后,该木马病毒应用被害账号开展散播,使其看上去好像合理合法使用者共享的合理合法贴子,zLabs研究人员表明:“这种遭劫持的Facebook对话可以利用与该木马病毒连接的本人信息乱用受害人的社会发展信誉度散播恶意程序,或者应用受害人的所在位置详细资料开展虚假广告主题活动。”“这种社会发展工程设计在数据互连全球中特别合理,而且常常被网上犯罪嫌疑人用于将恶意程序从一个受害人散播到另一个受害人。”
客观事实就这样没有错,相近的主题活动还包含SilentFade,该恶意程序很多年来一直以Facebook的广告投放平台为总体目标,并从客户的广告宣传账号中盗取了400万美金,与此同时运用受传染的账号来宣传策划故意广告宣传、盗取电脑浏览器cookie等。近期,一个相近的恶意程序——一个名叫CopperStealer的登陆密码和cookie盗取手机软件——自2019年至今一直在伤害amazon、iPhone、Google和Facebook账号,随后运用他们开展大量其它的互联网犯罪行为。
FlyTrap原理
FlyTrap应用JavaScript引入,根据登陆初始合理合法域来挟持对话。它的故意应用程序在WebView中开启合理合法域,随后引入故意JavaScript编码,进而获取总体目标信息内容——即cookie、客户账号详细资料、部位和IP地址。
FlyTrap的指令和操纵(C2)网络服务器应用盗取的登陆凭证来受权浏览搜集的数据信息。但更糟心的是:zLabs发觉C2网络服务器有一个不正确配备,这就可以被运用向“互联网技术上的所有人”公布全部失窃对话cookie数据库查询,这将进一步严重危害受害人。
zLabs给予了下边的地形图,图上表明FlyTrap严重危害了144个国家或区域的千余名受害人。
研究人员强调,从直接使用移动端访问普通的网站,会因移动端宽度的限制因素,导致访问者需要左右滑动,以及放大的操作,才能盗取凭据并不是什么新鲜事儿,终究移动智能终端“通常是社交媒体账号、金融机构应用程序、公司专用工具等未受保障的登陆信息内容的箱子”。
实践经验证明,FlyTrap的专用工具和工艺都十分合理,假如一些故意个人行为者应用它并对它进行更新改造以获得更主要的信息内容,这一定是情理之中的事儿。
运用人性的优点
虽然并不是很甘愿,安全性权威专家迫不得已钦佩FlyTrap的创始者。应用程序安全性企业NTT Application Security的发展战略高级副总裁Setu Kulkarni称该恶意程序是“好多个‘系统漏洞’的恰当组成:运用人性的优点让大家赶不及思索就禁不住点进来、一个容许JS引入的手机软件系统漏洞,很多可公布浏览的数据库(例如部位),及其最后可以利用与Google、Netflix等企业开展恰当但异常的关系,得到大家的信赖。”
Setu Kulkarni在周一告知Threatpost,这还没有最槽糕的。这类类别的木马病毒可以发生的网络效应是在客户间开展散播。Zimperium的what-if scenario很有可能会比FlyTrap更深层次,以便其可以获得金融机构凭据等更主要的信息内容“假如这类类别的木马病毒如今当作一种业务给予,或是假如它快速转换为对于不计其数客户的勒索病毒呢?”“问题的起始点沒有更改,这一切都起源于客户被诱惑而点一下某一连接。这就引出了一个问题——为了更好地全部顾客群的安全性,对于这种情况Google和iPhone迅速行动起來。”
App Snice Nevices企业的基础设施建设主管Shawn Smith周一告知Threatpost,FlyTrap以及类似手机软件说明,理应让客户加重那样的印像即“在点一下连接以前,必须做一些调研研究。”
“这类恶意程序主要是根据服务承诺优惠劵和给予为客户最有兴趣事儿的投票链接来散播。别的相似的情形包含Twitter丑事,该丑闻涉及到著名帐户被黑客攻击并被用于诱惑大家“给”钱。这种进攻身后显现出的社会工程层面常识的缺少是十分风险和最不容乐观的。
“只靠维护大家的技术性,大家能做的仅有这么多,客户必须进行文化教育发觉社会工程进攻,那样它们才可以更好的保护自己和她们的好朋友。”
怎样维护您的Android
Zimperum计算机终端商品销售总监杰弗里梅利克周一告知Threatpost,Android客户可以严禁安裝来源于不会受到信赖由来的一切应用程序,进而减少感柒的机遇。
他在一封电子邮件上说,尽管该设定在大部分Android机器设备上默认设置是关上的,但社会工程学技术性“是很善于引诱客户容许安裝的”。
要在Android上禁止使用未知来源,请转至设定,挑选“安全系数”,并保证未挑选“未知来源”选择项。
Melick还提议客户为全部社交媒体账号和一切别的有权利浏览比较敏感和个人信息的账号开启多种身份认证(MFA)。
他提议说:“尽管这不容易阻拦这类网络黑客个人行为,但它会为使用者的个人信息加上附加的安全性防护层,例如根据自然地理的报警”,很有可能会对你说“该账号正在尝试从越南地区登陆。”
假如Android客户猜疑Facebook账号与危害个人行为者有关系,Melick表示要依照Facebook的表明销户全部设施上的全部账号,马上变更其登陆密码并开启MFA(假如并未应用)。
梅利克提议,总体来说,要对一些看上去很诱惑的应用程序持质疑心态。“总体来说,便是要掌握应用程序要想的是啥。”“假如必须联接您的社交媒体账号以获得优惠劵或买卖,请中止并了解缘故。该网址/优惠劵企业现在可以应用该数据信息干什么?她们可以用您的账号干什么?她们确实必须这种数据才可以跟你买卖吗?要了解,一旦创建联接,您的统计数据可以在没经您允许的情形下轻轻松松获得和应用。”
文中翻譯自:https://threatpost.com/android-malware-flytrap-facebook/168463/倘若转截,请标明全文详细地址。