警惕!新的 Android 木马通过脸书劫持攻击140个国家的上万名用户

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2个月前
网络安全公司 Zimperium 发现了一种新的 Android 木马,该公司周一发布了一份报告,解释了这个恶意软件是如何攻击 144 个国家/地区的 10,000 多名受害者的。

自今年 3 月以来,这个被 Zimperium 研究人员命名为 “FlyTrap” 的木马已经能够通过社交媒体劫持、第三方应用程序商店和旁置应用程序进行传播。

Zimperium 移动威胁研究团队首先确定了该恶意软件,并发现它使用社会工程学攻击来危害Facebook 帐户。该恶意软件通过感染 Android 设备来劫持社交媒体帐户,允许攻击者从受害者那里收集信息,例如 Facebook ID、位置、电子邮件地址和 IP 地址,以及与 Facebook 帐户相关联的 cookie 和令牌。

Zimperium的研究人员写道:“这些被劫持的Facebook会话可以被用来传播恶意软件,途径是利用带有木马链接的个人信息,以及利用受害者地理位置的详细信息来宣传虚假信息活动,从而滥用受害者的社会信誉。”


“这些社会工程技术在数字连接的世界中非常有效,并且经常被网络犯罪分子用来将恶意软件从一个受害者传播到另一个受害者。这些威胁着会利用一些用户会觉得很有吸引力的主题,例如免费的 Netflix 优惠券代码、谷歌 AdWords优惠券代码,以及投票选出最佳足球球队或球员。”

研究人员将这一恶意软件归咎于一个总部设在越南的组织,并表示他们能够通过 Google Play 和其他应用程序商店分发它。谷歌收到了一份关于恶意软件的报告,对其进行了核实并从商店中删除了所有应用程序。

但报告指出,其中三个应用程序仍可在“第三方、不安全的应用程序库”中使用。

一旦受害者通过欺骗性的设计被说服下载该应用程序,该应用程序就会敦促用户参与进来,并最终要求用户输入他们的 Facebook 帐户信息,以便对某事进行投票或收集优惠券代码。一旦输入所有内容,应用程序就会将受害者带到显示优惠券已经过期的页面上。

研究人员解释说,该恶意软件使用一种称为“JavaScript 注入”的技术,该技术允许应用程序在“配置了注入 JavaScript 代码的能力的 WebView”中打开合法 的URL。然后,该应用程序通过注入恶意 JS 代码来提取 cookie、用户帐户详细信息、位置和 IP 地址等信息。

Zimperium 建议 Android 用户想办法检查他们设备上的所有应用程序是否有 FlyTrap,并指出这些被入侵的帐户可能被用作僵尸网络用于其他目的,例如刷量提高某些页面或网站的受欢迎程度。

Zimperium 研究人员说:“FlyTrap 只是针对旨在窃取凭据的移动设备不断受到主动威胁的一个例子。移动终端通常是社交媒体帐户、银行应用程序、企业工具等未受保护的登录信息的宝库。”

FlyTrap 使用的工具和技术并不新颖,但由于这些设备缺乏先进的移动端点安全性,因此非常有效。恶意方无需花费太多时间就可以获取 FlyTrap 或任何其他木马,并对其进行修改以锁定更多目标关键信息。

NTT 应用安全公司副总裁 Setu Kulkarni 表示,FlyTrap 是几个漏洞的“巧妙组合”,它利用了大量开放访问的元数据,如位置,以及与谷歌、Netflix等公司之间巧妙而可疑的关联,让其可以获得隐含信任。

Kulkarni说:“这甚至不是最令人担忧的一点,这种类型的木马可以通过从一个用户传播到多个用户而产生的网络效应。此外,正如 Zimperium 的调查结果所述,这种木马可能进化到泄露更多的信息,比如渗透银行凭证。 ”

“不幸的是,假设情景并没有就此结束,假设这种类型的木马现在以服务的形式提供,或者假设它迅速转变为针对成千上万用户的勒索软件,底线是不会改变的,这一切都始于一个引诱用户点击的链接。这就引出了问题——谷歌和苹果难道不应该为他们的整个客户群做更多的事情来解决这个问题吗?”