惡意移動APP的套路防不勝防!影響100萬個臉書用戶的中毒APP是如何對抗安全檢測的?
Meta公司檢測出影響100萬Facebook用戶的惡意 Android、iOS應用程序。 過去一年,約有400個移動應用程序在 Google Play和Apple App Store上冒充合法軟件,旨在竊取Facebook用戶憑據。Facebook正在聯系其平臺的大約100萬用戶,了解他們的賬戶詳細信息可能被惡意 Android或 iOS應用程序破壞。
在10月7日的一篇博文中,Facebook的母公司Meta表示,其研究人員在過去一年中檢測到400款惡意Android和iOS應用程序,這些應用程序旨在竊取Facebook用戶的用戶名和口令并企圖操控他們的賬戶。中毒的應用程序被上傳到谷歌和蘋果的應用程序商店,并偽裝成合法游戲、VPN服務、照片應用程序和其他實用程序。一些例子包括:
- 照片編輯器,包括那些聲稱允許您“將自己變成卡通”的編輯器
- 聲稱可以提高瀏覽速度或授予對被阻止內容或網站的訪問權限的VPN
- 手機實用程序,例如聲稱可以照亮手機手電筒的手電筒應用程序
- 手機游戲虛假承諾高量3D圖形
- 健康和生活方式應用程序,例如星座運勢和健身追蹤器
- 聲稱提供技術平臺在官方應用程序中未發現的隱藏或未經授權的功能的商業或廣告管理應用程序。
- 當用戶下載并安裝使用其中某款惡意應用程序時,它會提示他們輸入用戶的Facebook用戶名和口令。Meta說,如果用戶輸入他們的憑據,攻擊者將獲得對個人賬戶、私人信息和社交媒體平臺上朋友的完全訪問權限。
“這是一個高度對抗的空間,雖然我們的行業同行致力于檢測和刪除惡意軟件,但其中一些應用程序會逃避檢測并進入合法的應用程序商店,”Meta威脅分析主管David Agranovich 和惡意軟件發現和檢測工程師Ryan Victory,在博客文章中寫道。
Meta向蘋果和谷歌報告了這些應用程序,研究人員指出,“我們還提醒那些可能通過下載這些中毒應用程序并共享其憑據而在不知不覺中自我損害其賬戶的人,注意觀察他們自己的賬戶。”
成功冒充合法應用
Meta在Apple和Google的移動商店中檢測到的許多iOS和Android 應用程序都聲稱具有一些有趣或有用的功能,例如音樂播放器和卡通圖像編輯器。多個 (42%) 冒充照片編輯器,其中一些聲稱他們可以將用戶的照片變成卡通片。
大約15%據稱是商業實用程序,例如聲稱可以幫助用戶訪問被阻止的內容和網站或提高互聯網瀏覽速度的VPN;14%是手機實用程序,例如據稱有助于照亮的手電筒應用程序。
在Meta的研究人員發現的大約400個惡意應用程序中,手機游戲約占11%。Meta表示,虛假評論可能有助于提升其中一些應用程序的聲譽,并有助于隱藏對這些應用程序的潛在負面評論。
Facebook沒有透露這400個應用程序中有多少是基于Android的。但蘋果表示,在Meta 博客文章中提到的400個應用程序中,有45 適用于iOS系統,剩下355個適用于Android系統。
谷歌發言人表示,Meta報告中確定的所有應用程序都不再在Google Play上可用。“用戶還受到Google Play Protect的保護,它會在 Android上阻止這些應用程序,”他說。
Apple還確認這些應用程序已從App Store 中刪除。
一個永恒的主題
惡意應用程序進入谷歌和蘋果官方移動商店的問題絕非新鮮事。兩家公司多年來一直在處理這個問題,并實施了許多機制來審查發布到其商店的第三方應用程序。
但是,惡意軟件作者始終能夠以最新的方式潛入他們的應用程序商店。攻擊者通常用來繞過 Google和Apple測試流程的一種策略是將軟件的惡意功能與良性功能分開,并在測試完成后使用dropper安裝惡意代碼。
多年來,許多安全供應商報告稱在兩家商店都發現了偽裝成合法軟件的惡意應用程序。最近的例子之一是BitDefende在Google Play上發現了35個惡意應用程序,這些應用程序的總下載量約為200萬次。安全供應商發現一些旨在投放廣告的應用程序在安裝后重新命名,以增加檢測和刪除的難度。
7月,Dr. Web報告在Google Play上發現并向Google報告了近30個廣告軟件木馬,總下載量超過980萬。
雖然攻擊者更傾向于以Play為目標,但 Apple App Store上也有許多類似的實例。9 月,Human Security的Satori研究團隊報告了一項大規模的廣告服務操作,其中涉及 Google Play上的數十個惡意應用程序和Apple App Store上的至少九個惡意應用程序。至少自2019年以來,這些應用程序的總下載量約為1300萬次。
如何保持移動APP安全
有許多提供上述功能的合法應用程序,或者可能會要求您以安全可靠的方式登錄Facebook。網絡犯罪分子知道這些類型的應用程序有多受歡迎,并使用這些主題來欺騙人們并竊取他們的帳戶和信息。
惡意軟件應用程序通常具有將它們與合法應用程序區分開來的跡象。在使用Facebook帳戶登錄移動應用程序之前,需要考慮以下幾點:以下是研究人員發現在用戶使用社交媒體帳戶登錄之前無法提供任何功能的惡意軟件應用程序示例。
一是特別小心需要社交媒體憑據才能使用的APP; 如果您不提供Facebook信息,該應用程序是否無法使用?例如,對需要您的Facebook登錄名和口令才能使用它的照片編輯應用程序持懷疑態度。
二是查看APP的聲譽:應用程序是否有信譽?查看其下載次數、評分和評論,包括負面評論。
三是關注APP承諾的功能:該應用程序是否提供了它所說的功能,無論是在登錄之前還是之后?
如果用戶懷疑下載了惡意應用程序并使用自己的社交媒體或其他在線憑據登錄,研究人員建議用戶立即從設備中刪除該應用程序并按照以下說明保護帳戶的安全:
一是重置并創建新的強口令 ;切勿在多個網站上重復使用您的口令。
二是啟用雙因素身份驗證;最好使用Authenticator應用程序,為您的帳戶添加額外的安全層。
三是開啟登錄警報揭示功能,以便在有人試圖訪問您的帳戶時收到通知。請務必查看之前的登錄會話,以確保您識別哪些設備可以訪問您的帳戶。
研究人員還鼓勵用戶通過他們的數據濫用賞金計劃向其報告危害元帳戶的惡意應用程序。相關的威脅指標也以CSV、TSV和JSON 格式提供,網址為https://github.com/facebook/malware-detection。
參考資源
1、https://www.darkreading.com/remote-workforce/meta-flags-malicious-android-ios-apps-affecting-1m-facebook-users
2、https://about.fb.com/news/2022/10/protecting-people-from-malicious-account-compromise-apps/
