安全厂商ESET研究人员发现一只木马程序化身当红语音社交平台Clubhouse的Android版App,以骗取用户458种App及网站帐密,还能绕过短信2FA验证。
ESET ThreatFabric中心研究人员侦测到一只Android/TrojanDropper.Agent.HLR,这个名为BlackRock的木马程序冒充Android版Clubhouse,吸引不知Clubhouse仅有iOS版,且仅开放邀请加入的用户上钩。这个网站可能经由社群网站或论坛传播连接,将用户导向一个极神似Clubhouse的网站,要求用户点击“Get it on Google Play”按钮下载。
研究人员指出,仔细一看,这个假网站有许多可疑处,包括使用.mobi的顶级域名名,而非.com。此外它的网址是HTTP开头,而非合法网站会用的HTTPS。若用户不察点击按钮,就会自动下载APK。事实上,正牌的Android App只会将用户导向Google网页,而不会自动下载到用户手机上。
研究人员Lucas Stefano指出一旦进入受害设备内,BlackRock就会开始收集多种网站或App的账号。正确说来,它的目标包括高达458种App,包括Twitter、WhatsApp、Facebook、Amazon、Netflix、Outlook、eBay、Coinbase,及西班牙BBVA银行和英国的莱斯银行(Lloyds Bank)及其他线上金融服务。
BlackRock窃密手法包括使用覆盖攻击(overlay attack)并要求用户登录,这是一种窃密用的恶意覆盖程序代码,可加在登录页面上,在用户启动目标App、输入帐密后即取得用户的重要信息。
此外,BlackRock还会拦截文本短信,使原本可防止钓鱼攻击的短信双重验证失效。BlackRock还会要求用户启动辅助(accessibility)功能,通过获得访问通讯录或相机的权限,进而控制设备。
研究人员呼吁用户应只到官网下载App,并留意自己同意了什么访问权给App。而下载任何App前也应看一下用户评价。此外用户应随时让设备软件保持在更新状态、使用手机安全软件。最好使用App或硬件式的一次性密码(OTP),不要用短信发送2FA验证码。