假Clubhouse App騙取Android用戶400多種服務帳密

A
Al8899
楼主 (未名空间)

一款名為BlackRock的木馬程式冒充語音社交平臺Clubhouse Android版,吸引不知道
Clubhouse只有iOS版,且僅開放受邀者加入的人上鉤

冒充語音社交平臺Clubhouse的BlackRock木馬程式二大破綻:Android版(Clubhouse官方目前只提供iOS版),網址是HTTP開頭,而非HTTPS。(圖片來源/ESET)

.
安全廠商ESET研究人員發現一隻木馬程式化身當紅語音社交平臺Clubhouse的Android版App,以騙取用戶458種App及網站帳密,還能繞過簡訊2FA驗證。

ESET ThreatFabric中心研究人員偵測到一隻Android/TrojanDropper.Agent.HLR,這個名為BlackRock的木馬程式冒充Android版Clubhouse,吸引不知Clubhouse僅有iOS版,
且僅開放邀請加入的用戶上鈎。這個網站可能經由社群網站或論壇散布連結,將用戶導向一個極神似Clubhouse的網站,要求用戶點擊「Get it on Google Play」按鍵下載。

研究人員指出,仔細一看,這個假網站有許多可疑處,包括使用.mobi的頂級網域名,
而非.com。此外它的網址是HTTP開頭,而非合法網站會用的HTTPS。若用戶不察點擊按
鍵,就會自動下載APK。事實上,正牌的Android App只會將用戶導向Google網頁,而不會自動下載到用戶手機上。

研究人員Lucas Stefano指出一旦進入受害裝置內,BlackRock就會開始收集多種網站或App的帳號。正確說來,它的目標包括高達458種App,包括Twitter、 WhatsApp、
Facebook、Amazon、Netflix、Outlook、eBay、Coinbase,及西班牙BBVA銀行和英國的萊斯銀行(Lloyds Bank)及其他線上金融服務。

BlackRock竊密手法包括使用覆蓋攻擊(overlay attack)並要求用戶登入,這是一種
竊密用的惡意覆蓋程式碼,可加在登入頁面上,在用戶啟動目標App、輸入帳密後即取
得用戶的重要資訊。

此外,BlackRock還會攔截文字簡訊,使原本可防止釣魚攻擊的簡訊雙因素驗證失效。
BlackRock還會要求使用者啟動輔助(accessibility)功能,透過獲得存取通訊錄或相機的權限,進而控制裝置。

研究人員呼籲使用者應只到官網下載App,並留意自己同意了什麼存取權給App。而下載任何App前也應看一下用戶評價。此外使用者應隨時讓裝置軟體保持在更新狀態、使用
手機安全軟體。最好使用App或硬體式的一次性密碼(OTP),不要用簡訊傳送2FA驗證
碼。