?[[417778]]?

研究人員發現了一種名為FlyTrap的新型Android木馬，該木馬通過第三方應用商店中被操縱的應用、側載應用和被劫持的Facebook帳戶導致10,000多名用戶收到攻擊。

在周一發布的一份報告中，Zimperium的zLabs移動威脅研究團隊寫道，自3月以來，FlyTrap已通過Google Play商店和第三方應用程序市場傳遞的惡意應用程序傳播到至少144個國家或地區。研究人員表示，該惡意軟件是一系列特洛伊木馬的一部分，它可以利用社交工程接管Facebook賬戶?，F在研究人員已經追蹤到了在越南工作的運營商。

會話劫持活動最初是通過Google Play和第三方應用商店發布的。在Zimperium zLabs提醒之后，Google Play刪除了這些惡意應用程序。

然而Zimperium指出，它們仍然分布在一些第三方、不安全的應用程序商店，“這使得側載應用程序到移動端點和用戶數據的風險更加突出?！?/p>

以下是九種不良應用程序：

• GG代金券(com.luxcarad.cardid)
• 為歐洲足球投票(com.gardenguides.plantingfree)
• GG優惠券廣告(com.free_coupon.gg_free_coupon)
• GG代金券廣告(com.m_application.app_moi_6)
• GG代金券(com.free.voucher)
• Chatfuel(com.ynsuper.chatfuel)
• 凈息票(com.free_coupon.net_coupon)
• 凈息票(com.movie.net_coupon)
• 2021年歐洲杯官方網站(com.euro2021)

你是如何被FlyTrap劫持的

威脅行為者使用多種方式：免費的Netflix優惠券代碼、Google AdWords優惠券代碼，以及投票選出最佳足球隊或球員等等。這些活動或是福利不僅誘人，制作的畫面也很精良，這就使得威脅行為者能夠更好地隱藏他們想做的事情。

zLabs研究人員解釋說：“就像任何用戶操作一樣，高質量網頁設計和看起來像官方的登錄界面是引誘用戶可能進行泄露敏感信息行為的常見策略。”“在這種情況下，當用戶登錄他們的官方帳戶時，FlyTrap木馬就可以進行惡意劫持會話信息?！?/p>

這些不良應用程序聲稱提供Netflix和Google AdWords優惠券代碼，或者讓用戶在在7月11日結束的歐洲足球錦標賽(Eurofa EURO 2020:四年一度的歐洲足球錦標賽)上投票選出他們最喜歡的球隊和球員。但首先，在惡意軟件應用程序提供承諾的活動之前，目標用戶被告知必須使用他們的Facebook帳戶登錄以投票或收集優惠券代碼或積分。

毫無疑問，沒有免費的Netflix或AdWords優惠券或代碼，也沒有給最喜歡的足球隊投票的活動。惡意應用程序只是在用戶輸入Facebook登陸憑據之后拋出一條消息說優惠券或代碼在“兌換后和消費前”已過期，從而讓自己看起來沒那么“惡意”，如下面的屏幕截圖所示。

??

FlyTrap開始行動

當一個誤入陷阱的Android用戶分輸入其Facebook憑據后，這些應用程序就會開始收集包括以下內容的詳細信息：

• Facebook ID
• 地點
• 電子郵件地址
• IP地址
• 與Facebook帳戶關聯的Cookie和token

然后，該木馬使用受害帳戶進行傳播，使其看起來像是合法所有者分享的合法帖子，zLabs研究人員表示：“這些被劫持的Facebook會話可以通過與該木馬鏈接的個人消息濫用受害者的社會信譽傳播惡意軟件，或是使用受害者的地理位置詳細信息進行虛假宣傳活動。”“這些社會工程技術在數字互聯世界中非常有效，并且經常被網絡犯罪分子用來將惡意軟件從一個受害者傳播到另一個受害者。”

事實就是這樣沒錯，類似的活動還包括SilentFade，該惡意軟件多年來一直以Facebook的廣告平臺為目標，并從用戶的廣告帳戶中竊取了400萬美元，同時利用受感染的帳戶來宣傳惡意廣告、竊取瀏覽器cookie等。最近，一個類似的惡意軟件——一個名為CopperStealer的密碼和cookie竊取軟件——自2019年以來一直在危害亞馬遜、蘋果、谷歌和Facebook帳戶，然后利用它們進行更多其他的網絡犯罪活動。

FlyTrap工作原理

FlyTrap使用JavaScript注入，通過登錄原始合法域來劫持會話。它的惡意應用程序在WebView中打開合法域，然后注入惡意JavaScript代碼，從而提取目標信息——即cookie、用戶帳戶詳細信息、位置和IP地址。

FlyTrap的命令和控制(C2)服務器使用竊取的登錄憑據來授權訪問收集的數據。但更糟糕的是：zLabs發現C2服務器有一個錯誤配置，這就可以被利用向“互聯網上的任何人”公開整個被盜會話cookie數據庫，這將進一步危及受害者。

zLabs提供了下面的地圖，圖中顯示FlyTrap危及了144個國家或地區的數千名受害者。

研究人員指出，從移動設備竊取憑證并不是什么新鮮事，畢竟移動終端“通常是社交媒體帳戶、銀行應用程序、企業工具等未受保護的登錄信息的寶箱”。

實踐證明，FlyTrap的工具和技術都非常有效，如果一些惡意行為者使用它并對其進行改造以獲取更重要的信息，這絕對是意料之中的事情。

利用人性的弱點

盡管不是很情愿，安全專家不得不佩服FlyTrap的創造者。應用程序安全公司NTT Application Security的戰略副總裁Setu Kulkarni稱該惡意軟件是“幾個‘漏洞’的巧妙組合：利用人性的弱點讓人們來不及思考就忍不住點進去、一個允許JS注入的軟件漏洞，大量可公開訪問的元數據(例如位置)，以及最終可以通過與谷歌、Netflix等公司進行巧妙但可疑的關聯，獲得人們的信任?！?/p>

Setu Kulkarni在周一告訴Threatpost，這還不是最糟糕的。這種類型的木馬可以產生的網絡效應是在用戶之間進行傳播。Zimperium的what-if scenario可能會比FlyTrap更深入，以使其能夠獲取銀行憑證等更重要的信息“如果這種類型的木馬現在作為一種服務提供，或者如果它迅速轉變為針對成千上萬用戶的勒索軟件呢?”“問題的起點沒有改變，這一切都始于用戶被引誘而點擊某個鏈接。這就引出了一個問題——為了整個客戶群的安全，針對這種現象谷歌和蘋果積極行動起來。”

App Snice Nevices公司的基礎設施總監Shawn Smith周一告訴Threatpost，FlyTrap及其同類軟件表明，應當讓用戶加深這樣的印象即“在點擊鏈接之前，需要做一些調查研究?！?/p>

“這種惡意軟件主要通過承諾優惠券和提供為用戶最感興趣事情的投票鏈接來傳播。其他類似的情況包括Twitter丑聞，該丑聞涉及知名賬戶被黑客入侵并被用來引誘人們“給”錢。這些攻擊背后暴露出的社會工程方面知識的缺失是非常危險和最令人擔憂的。

“僅靠保護我們的技術，我們能做的只有這么多，用戶需要接受教育發現社會工程攻擊，這樣他們才能更好地保護自己和他們的朋友?！?/p>

如何保護您的Android

Zimperum終端安全產品營銷總監理查德梅利克周一告訴Threatpost，Android用戶可以禁止安裝來自不受信任來源的任何應用程序，從而降低感染的機會。

他在一封電子郵件中說，雖然該設置在大多數Android設備上默認是關閉的，但社會工程學技術“是很擅長誘使用戶允許安裝的”。

要在Android上禁用未知來源，請轉到設置，選擇“安全性”，并確保未選擇“未知來源”選項。

Melick還建議用戶為所有社交媒體帳戶和任何其他有權訪問敏感和私人數據的帳戶啟用多重身份驗證(MFA)。

他建議說：“雖然這不會阻止這種黑客行為，但它會為用戶的個人資料添加額外的安全保護層，例如基于地理的警報”，可能會告訴你“該帳戶正試圖從越南登錄?！?/p>

如果Android用戶懷疑Facebook帳戶與威脅行為者有關聯，Melick表示要按照Facebook的說明注銷所有設備上的所有帳戶，立即更改其密碼并啟用MFA(如果尚未使用)。

梅利克建議，總的來說，要對那些看起來很誘人的應用程序持懷疑態度。“總的來說，就是要了解應用程序想要的是什么?！薄叭绻枰B接您的社交媒體帳戶以獲取優惠券或交易，請暫停并詢問原因。該網站/優惠券公司現在可以使用該數據做什么?他們可以用您的帳戶做什么?他們真的需要這些信息才能跟你交易嗎?要知道，一旦建立連接，您的數據可以在未經您同意的情況下輕松獲取和使用?！?/p>

本文翻譯自：https://threatpost.com/android-malware-flytrap-facebook/168463/如若轉載，請注明原文地址。