自2021年3月以来,发现一种新的Android木马通过谷歌Play Store和其他第三方应用程序市场发布的欺诈应用程序,危害了至少144个国家的1千多名用户的Facebook账户。
这个名为“FlyTrap”的恶意软件被认为是一系列木马的一部分,这些木马利用社会工程技巧来入侵Facebook账户,这是由越南以外的恶意行为者策划的一场session劫持行动的一部分。
Zimperium 恶意软件研究员表示,尽管这9个违规应用程序已从Google Play下架,但它们仍可在第三方应用程序商店中使用,“这凸显了应用侧边加载到移动终端和用户数据的风险。”应用程序列表如下:
GG凭证(com.luxcarad.cardid)
为欧洲足球投票
GG优惠券广告(com.free_coupon.gg_free_coupon)
GG Voucher广告(com.m_application.app_moi_6)
GG凭证(com.free.voucher)
Chatfuel (com.ynsuper.chatfuel)
净优惠券(com.free_coupon.net_coupon)
净优惠券(com.movie.net_coupon)
欧盟2021年官员(com.euro2021)
恶意应用程序声称提供Netflix和谷歌AdWords优惠码,让用户投票选出发生在6月11日和2021年7月11日之间,欧足联2020年欧洲杯他们最喜欢的球队和球员。唯一的条件是,要使用他们的Facebook登录账户投下自己的选票,或者收集优惠券代码或学分。
一旦用户登录该账户,恶意软件就会窃取受害者的Facebook ID、位置、电子邮件地址、IP地址,以及与该Facebook账户相关的cookie和令牌,从而使威胁行动者能够利用受害者的地理位置信息进行虚假信息活动,或通过社会工程技术通过发送包含木马链接的个人信息进一步传播恶意软件。
这是使用一种称为JavaScript注入技术实现的,其中“应用程序在配置了注入JavaScript代码的WebView中打开合法URL,并提取所有必要的信息,例如 cookie、用户帐户详细信息、位置和IP地址。注入恶意JavaScript代码。
虽然被窃取的数据托管在命令和控制(C2)基础设施上,但C2服务器上发现的安全漏洞可能被利用,向互联网上的任何人暴露整个窃取的会话cookie数据库,从而使受害者面临进一步的风险。
“恶意威胁行为者正在利用常见的用户误解:即无论用于登录的应用程序如何,登录正确的域总是安全的。这项活动在收集来自144个国家的用户的社交媒体会话数据方面非常有效。这些账户可以作为僵尸网络用于不同的目的:从提高页面/网站/产品的知名度到传播错误信息或政治宣传。”
互联网飞速发展的同时也给网络犯罪分子以利用空间,他们不断升级恶意软件的攻击手段,逐渐形成有针对性的恶意攻击。目前,国际上多个国家已针对网络安全问题出台相关法律法规。加强网络安全一方面需要提高安全意识,从日常生活中警惕犯罪分子的攻击,另一方面加强软件安全防御和软件自身抵御攻击的能力,尤其随着越来越多企业开始进行DevsecOps,保障软件安全,已逐渐左移至从代码安全检测开始强化软件自身“抵抗力”。
Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
