WhatsApp 技巧:Android 恶意软件可冒充 PDF 文件

admin
admin
admin
140350
文章
117
评论
2024年7月30日23:37:28评论53 views字数 2018阅读6分43秒阅读模式

WhatsApp 技巧:Android 恶意软件可冒充 PDF 文件

2024年7 月 14 日,恶意软件分析师@0x6rss在 X 上发现并分享了WhatsApp Messenger for Android 中的一个安全问题。此问题允许攻击者将恶意 Android 应用程序伪装成在聊天中共享的 PDF 文件。该漏洞不能被滥用,通过 WhatsApp Messenger 的常规使用直接将恶意应用程序作为附件共享。相反,要利用此问题,攻击者必须通过 WhatsApp 的编程接口发送特殊请求。

2024年6 月 25 日,@0x6rss向管理 WhatsApp 漏洞赏金的 Facebook 安全团队报告了这个扩展操作漏洞。然而,该团队并不认为这是一个安全漏洞,而是一种被称为社会工程学的欺骗行为,不属于范围内的安全漏洞类别。尽管它没有被官方认定为漏洞,但我认为用户了解这个简单但有效的技巧至关重要。使用这种方法,不太熟悉技术的人可能会被诱骗下载和安装有害应用程序。Telegram最近发现并修复了类似的问题,恶意 Android 应用程序可以伪装成在 Telegram for Android 应用程序中聊天中分享的视频。

我联系了@0x6rss以了解有关他的发现的更多信息。他与我分享了详细信息,我得以复制它。概念证明尚未公开。

您可以在下面的视频中观看该问题如何向用户显示的演示。

分析

此漏洞只能通过 WhatsApp API 滥用,而不能通过在应用程序内发送精心设计的有效负载直接利用。这个简单的技巧是更改所显示文档的文件扩展名;但是,WhatsApp 仍然显示正确的文件扩展名,见图 1。对于精通技术的用户来说,这很可能是一个危险信号,但是,普通用户可能不知道 APK 是什么意思,也不知道当文件名表明它是 PDF 格式时,Android 应用程序使用什么文件扩展名。

WhatsApp 技巧:Android 恶意软件可冒充 PDF 文件

图 1. 接收到的带有修改扩展名的文件

当用户点击该文件时,会出现第二个红旗,这是来自 WhatsApp 的警告,This document might contain unsafe content. Make sure you trust the sender before you open it.参见图 2。

WhatsApp 技巧:Android 恶意软件可冒充 PDF 文件

图 2. WhatsApp 打开文档前的警告

这个警告是合理的;但是,它明确指出的是文档,而不是应用程序。使用操纵的扩展名共享 APK 文件(图 2)与在 WhatsApp Messenger 应用程序中共享 APK 文件的常规方法(见图 3)之间存在细微的文本差异。在第二种情况下,文件被识别为 APK,而不是文档。

WhatsApp 技巧:Android 恶意软件可冒充 PDF 文件

图 3. WhatsApp 识别了该文件的 APK 扩展名

点击打开时,WhatsApp 会请求用户允许 WhatsApp Messenger 安装来自未知来源的应用程序,见图 4。如果已经允许,则跳过此步骤。

WhatsApp 技巧:Android 恶意软件可冒充 PDF 文件

图 4. 允许 WhatsApp 安装未知应用程序

然后要求用户从附件安装一个应用程序,见图 5。

WhatsApp 技巧:Android 恶意软件可冒充 PDF 文件

图 5. 要求用户安装 Invoice.pdf 应用程序

WhatsApp 网页版和桌面版

除了 Android 版 WhatsApp Messenger,我还测试了 Windows 版 WhatsApp Web 和桌面版。

对于在计算机上使用 WhatsApp 的用户来说,这是一个好消息,因为它不会影响 WhatsApp Web 或桌面应用程序。这意味着即使有人试图通过更改文件名称来欺骗您,也不会让您下载或运行任何有害软件。我已经使用 APK 和 EXE 文件对此进行了测试。WhatsApp 无法识别正确的文件类型,但是下载的文件不可执行。有趣的是,WhatsApp 根据其虚假名称而不是文件头显示了文件的预览图像。因此,虽然这个错误很狡猾,但如果您在计算机上使用 WhatsApp,则不必担心。参见图 6 和图 7。

WhatsApp 技巧:Android 恶意软件可冒充 PDF 文件

图 6. 使用 WhatsApp Web 以 PDF 形式共享的 EXE 文件

WhatsApp 技巧:Android 恶意软件可冒充 PDF 文件

图 7. 使用 WhatsApp for Desktop 以 PDF 格式共享的 APK 文件

预防

在打开类似附件之前请三思,在图 8 中,您可以看到经过特殊设计的带有操纵扩展名的 Android 应用程序与 WhatsApp 聊天中共享的合法 PDF 文件的比较。不同之处在于,WhatsApp 识别了文件扩展名、页数并显示预览。

WhatsApp 技巧:Android 恶意软件可冒充 PDF 文件

图 8. Android 应用程序冒充 PDF(第一个文件)和合法 PDF 文件(第二个文件)

此外,使用安全软件可以帮助识别和删除已下载或安装的操纵扩展的恶意应用程序。

结论

利用这个技巧很容易误导不懂技术的用户安装冒充 PDF 文档的恶意应用程序。技巧在于使用 API 接口操纵 WhatsApp Messenger 中的文件扩展名。

已经有案例显示,Android 恶意软件通过 WhatsApp 作为需要手动安装的定期共享应用程序进行传播。这种技术可能会增加一层额外的保护,以误导潜在受害者安装有害应用程序。

https://www.mobile-hacker.com/2024/07/23/whatsapp-trick-android-malware-can-impersonate-pdf-file/

原文始发于微信公众号(Ots安全):WhatsApp 技巧:Android 恶意软件可冒充 PDF 文件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月30日23:37:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WhatsApp 技巧:Android 恶意软件可冒充 PDF 文件https://cn-sec.com/archives/2995534.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息