員工培訓不足
安全公司 Zimperium 發現了一個通過社交媒體劫持、利用第三方應用程序商店和加載應用程序傳播的新惡意軟件活動。
具體內容
網絡安全公司Zimperium 發現了一種新的 Android 木馬,該公司周一發布會了一份報告,解釋了該惡意軟件如何能夠攻擊144個國家/地區的10000多名受害者。
自 3 月以來,這個被 Zimperium 研究人員命名為 FlyTrap 的木馬已經能夠通過“社交媒體劫持、第三方應用程序商店和加載應用程序” 三種方式進行惡意軟件傳播。
Zimperium 的 zLabs 移動威脅研究團隊首先確定了該惡意軟件,并發現它使用社交工程技巧來破壞 Facebook 帳戶。該惡意軟件通過感染 Android 設備來劫持社交媒體帳戶,允許攻擊者從受害者那里收集信息,例如 Facebook ID、位置、電子郵件地址和 IP 地址以及與 Facebook 帳戶相關聯的 cookie 和令牌。
Zimperium 研究人員寫道:“這些被劫持的 Facebook 會話可用于通過帶有木馬鏈接的個人消息濫用,損害受害者的社會信譽,以及使用受害者的地理位置詳細信息進行宣傳或虛假宣傳活動,從而傳播惡意軟件。”
“這些社會工程技術在數字連接的世界中非常有效,并且經常被網絡犯罪分子用來將惡意軟件從一個受害者傳播到另一個受害者。攻擊者利用了幾個用戶會覺得很有吸引力的主題,例如免費的 Netflix 優惠券代碼、Google AdWords優惠券代碼,并投票選出最佳足球球隊或球員。”
研究人員將惡意軟件歸咎于總部設在越南的團體,并表示他們能夠使用 Google Play 和其他應用程序商店分發它。谷歌收到了一份關于惡意軟件的報告,對其進行了驗證并從商店中刪除了所有應用程序。
但報告指出,其中三個應用程序仍可在“第三方、不安全的應用程序存儲庫”中使用。
一旦受害者通過欺騙性設計被說服下載該應用程序,該應用程序就會敦促用戶參與并最終要求人們輸入他們的 Facebook 帳戶信息,以便對某事進行投票或收集優惠券代碼。輸入所有內容后,該應用程序會將受害者帶到一個屏幕,顯示優惠券已過期。
研究人員解釋說,該惡意軟件使用一種稱為“JavaScript 注入”的技術,該技術允許應用程序在“配置了注入 JavaScript 代碼的能力的 WebView”中打開合法 URL。然后,該應用程序通過注入惡意 JS 代碼來提取 cookie、用戶帳戶詳細信息、位置和 IP 地址等信息。
Zimperium 建議 Android 用戶找到方法檢查他們設備上是否有任何應用程序有 FlyTrap,并指出這些被破壞的帳戶可以成為僵尸網絡用于其他目的。
“FlyTrap 只是旨在竊取憑據的針對移動設備的持續、主動威脅的一個例子。移動端點通常是社交媒體帳戶、銀行應用程序、企業工具等未受保護的登錄信息的寶庫,”Zimperium 研究人員說。
“FlyTrap 使用的工具和技術并不新穎,但由于這些設備缺乏先進的移動端點安全性,因此非常有效。惡意方無需花費太多時間就可以獲取 FlyTrap 或任何其他木馬并對其進行修改以針對更多目標關鍵信息。
NTT 應用安全副總裁 Setu Kulkarni 表示,FlyTrap 是少數漏洞的”巧妙組合“,并利用了大量開放訪問的元數據,例如位置。以及可以獲得的隱性信任通過與谷歌、Netflix 等公司的巧妙而可疑的關聯。
”這甚至不是最令人擔憂的一點——相關的一點是這種類型的木馬可以通過從一個用戶傳播到多個用戶而產生的網絡效應。此外,正如 Zimperium 的調查結果所述——這種木馬可以進化為滲透銀行憑證等更多重要信息的部分,“庫爾卡尼說。
”不幸的是,假設此情景并沒有就此結束。假設這種類型的木馬現在作為服務提供,或者假設這會迅速轉變為針對成千上萬用戶的勒索軟件。 “這一切都始于一個被引誘點擊鏈接的用戶。這引出了一個問題——谷歌和蘋果是不是應該為他們的整個客戶群做更多的事情來解決這個問題呢?”
如何保護智能手機的安全
研究人員建議用戶例行交叉檢查設備上所安裝的應用,查看并刪除任何未經自己同意或在自己不知情的情況下安裝的惡意或未知或不需要的應用。
這類安卓惡意軟件可用于攻擊用戶設備,因此如果用戶擁有安卓設備,則強烈建議用戶執行以下步驟以確保設備安全:
永遠不要從第三方應用商店安裝應用、
確保你已經開啟了 “Google Play Protect” 功能。
啟用設置中的“驗證應用”功能。
在不使用的情況下,禁用“未知來源”。
安裝著名網絡安全廠商推出的反病毒和安全軟件。
例行備份手機內容。
使用加密應用保護手機上的敏感信息。
永遠不要打開意料之外的文檔,即使它看似來自你所認識的人。
通過 PIN 或密碼鎖保護設備。
及時應用最新安全補丁。
