假Clubhouse App騙取Android用戶400多種服務帳密

一款名為BlackRock的木馬程式冒充語音社交平臺Clubhouse Android版，吸引不知道
Clubhouse只有iOS版，且僅開放受邀者加入的人上鉤

冒充語音社交平臺Clubhouse的BlackRock木馬程式二大破綻：Android版（Clubhouse官方目前只提供iOS版），網址是HTTP開頭，而非HTTPS。（圖片來源／ESET）

.
安全廠商ESET研究人員發現一隻木馬程式化身當紅語音社交平臺Clubhouse的Android版App，以騙取用戶458種App及網站帳密，還能繞過簡訊2FA驗證。

ESET ThreatFabric中心研究人員偵測到一隻Android/TrojanDropper.Agent.HLR，這個名為BlackRock的木馬程式冒充Android版Clubhouse，吸引不知Clubhouse僅有iOS版，
且僅開放邀請加入的用戶上鈎。這個網站可能經由社群網站或論壇散布連結，將用戶導向一個極神似Clubhouse的網站，要求用戶點擊「Get it on Google Play」按鍵下載。

研究人員指出，仔細一看，這個假網站有許多可疑處，包括使用.mobi的頂級網域名，
而非.com。此外它的網址是HTTP開頭，而非合法網站會用的HTTPS。若用戶不察點擊按
鍵，就會自動下載APK。事實上，正牌的Android App只會將用戶導向Google網頁，而不會自動下載到用戶手機上。

研究人員Lucas Stefano指出一旦進入受害裝置內，BlackRock就會開始收集多種網站或App的帳號。正確說來，它的目標包括高達458種App，包括Twitter、 WhatsApp、
Facebook、Amazon、Netflix、Outlook、eBay、Coinbase，及西班牙BBVA銀行和英國的萊斯銀行（Lloyds Bank）及其他線上金融服務。

BlackRock竊密手法包括使用覆蓋攻擊（overlay attack）並要求用戶登入，這是一種
竊密用的惡意覆蓋程式碼，可加在登入頁面上，在用戶啟動目標App、輸入帳密後即取
得用戶的重要資訊。

此外，BlackRock還會攔截文字簡訊，使原本可防止釣魚攻擊的簡訊雙因素驗證失效。
BlackRock還會要求使用者啟動輔助（accessibility）功能，透過獲得存取通訊錄或相機的權限，進而控制裝置。

研究人員呼籲使用者應只到官網下載App，並留意自己同意了什麼存取權給App。而下載任何App前也應看一下用戶評價。此外使用者應隨時讓裝置軟體保持在更新狀態、使用
手機安全軟體。最好使用App或硬體式的一次性密碼（OTP），不要用簡訊傳送2FA驗證
碼。