Android木马通过社交媒体劫持攻击140个国家/地区的10,000名受害者

前情提要

安全公司 Zimperium 发现了一个通过社交媒体劫持、利用第三方应用程序商店和加载应用程序传播的新恶意软件活动。

网络安全公司Zimperium 发现了一种新的 Android 木马，该公司周一发布会了一份报告，解释了该恶意软件如何能够攻击144个国家/地区的10000多名受害者。

自 3 月以来，这个被 Zimperium 研究人员命名为 FlyTrap 的木马已经能够通过“社交媒体劫持、第三方应用程序商店和加载应用程序” 三种方式进行恶意软件传播。

Zimperium 的 zLabs 移动威胁研究团队首先确定了该恶意软件，并发现它使用社交工程技巧来破坏 Facebook 帐户。该恶意软件通过感染 Android 设备来劫持社交媒体帐户，允许攻击者从受害者那里收集信息，例如 Facebook ID、位置、电子邮件地址和 IP 地址以及与 Facebook 帐户相关联的 cookie 和令牌。

Zimperium 研究人员写道：“这些被劫持的 Facebook 会话可用于通过带有木马链接的个人消息滥用，损害受害者的社会信誉，以及使用受害者的地理位置详细信息进行宣传或虚假宣传活动，从而传播恶意软件。” 

“这些社会工程技术在数字连接的世界中非常有效，并且经常被网络犯罪分子用来将恶意软件从一个受害者传播到另一个受害者。攻击者利用了几个用户会觉得很有吸引力的主题，例如免费的 Netflix 优惠券代码、Google AdWords优惠券代码，并投票选出最佳足球球队或球员。”

研究人员将恶意软件归咎于总部设在越南的团体，并表示他们能够使用 Google Play 和其他应用程序商店分发它。谷歌收到了一份关于恶意软件的报告，对其进行了验证并从商店中删除了所有应用程序。 

但报告指出，其中三个应用程序仍可在“第三方、不安全的应用程序存储库”中使用。

一旦受害者通过欺骗性设计被说服下载该应用程序，该应用程序就会敦促用户参与并最终要求人们输入他们的 Facebook 帐户信息，以便对某事进行投票或收集优惠券代码。输入所有内容后，该应用程序会将受害者带到一个屏幕，显示优惠券已过期。

研究人员解释说，该恶意软件使用一种称为“JavaScript 注入”的技术，该技术允许应用程序在“配置了注入 JavaScript 代码的能力的 WebView”中打开合法 URL。然后，该应用程序通过注入恶意 JS 代码来提取 cookie、用户帐户详细信息、位置和 IP 地址等信息。

Zimperium 建议 Android 用户找到方法检查他们设备上是否有任何应用程序有 FlyTrap，并指出这些被破坏的帐户可以成为僵尸网络用于其他目的。 

“FlyTrap 只是旨在窃取凭据的针对移动设备的持续、主动威胁的一个例子。移动端点通常是社交媒体帐户、银行应用程序、企业工具等未受保护的登录信息的宝库，”Zimperium 研究人员说。 

“FlyTrap 使用的工具和技术并不新颖，但由于这些设备缺乏先进的移动端点安全性，因此非常有效。恶意方无需花费太多时间就可以获取 FlyTrap 或任何其他木马并对其进行修改以针对更多目标关键信息。”

NTT 应用安全副总裁 Setu Kulkarni 表示，FlyTrap 是少数漏洞的“巧妙组合”，并利用了大量开放访问的元数据，例如位置。以及可以获得的隐性信任通过与谷歌、Netflix 等公司的巧妙而可疑的关联。 

“这甚至不是最令人担忧的一点——相关的一点是这种类型的木马可以通过从一个用户传播到多个用户而产生的网络效应。此外，正如 Zimperium 的调查结果所述——这种木马可以进化为渗透银行凭证等更多重要信息的部分，”库尔卡尼说。 

“不幸的是，假设此情景并没有就此结束。假设这种类型的木马现在作为服务提供，或者假设这会迅速转变为针对成千上万用户的勒索软件。 “这一切都始于一个被引诱点击链接的用户。这引出了一个问题——谷歌和苹果是不是应该为他们的整个客户群做更多的事情来解决这个问题呢？”

如何保护智能手机的安全

研究人员建议用户例行交叉检查设备上所安装的应用，查看并删除任何未经自己同意或在自己不知情的情况下安装的恶意或未知或不需要的应用。

这类安卓恶意软件可用于攻击用户设备，因此如果用户拥有安卓设备，则强烈建议用户执行以下步骤以确保设备安全：

· 永远不要从第三方应用商店安装应用、

· 确保你已经开启了 “Google Play Protect” 功能。

· 启用设置中的“验证应用”功能。

· 在不使用的情况下，禁用“未知来源”。

· 安装著名网络安全厂商推出的反病毒和安全软件。

· 例行备份手机内容。

· 使用加密应用保护手机上的敏感信息。

· 永远不要打开意料之外的文档，即使它看似来自你所认识的人。

· 通过 PIN 或密码锁保护设备。

· 及时应用最新安全补丁。