【Android用家注意】木馬程式借社交工程攻擊 140個國家逾萬人中伏

網絡安全公司 Zimperium 近日發現了一個以劫持社交媒體、第三方應用程式商店和另行加載的應用程式，作為傳播的新惡意軟件活動。而這個新的 Android 木馬程式被 Zimperium 研究人員命名為 FlyTrap，在今年三月已出現，並攻擊 144 個國家或地區中逾一萬名受害者。

Zimperium 的 zLabs mobile threat 研究團隊首先發現該惡意軟件的存在，並發現它使用社交工程技巧來破壞受害者的 Facebook 帳戶，透過感染他們的 Android 裝置，以劫持其社交媒體帳戶收集信息，例如 Facebook ID、位置、電子郵件地址和 IP 地址，以及與 Facebook 帳戶相關聯的 cookie 和 tokens。

Zimperium 研究人員指出，這些劫持可用於利用受害者 Facebook ，發放個人訊息散播放帶有木馬的連結，繼而影響受害人的信譽，以及使用受害者的所在地詳細資料，宣傳虛假活動，從而散播惡意軟件。研究人員又指，這些社交工程技術在數碼世界非常湊效，並且經常被網絡犯罪分子用來將惡意軟件，從一個受害者傳播到另一個受害者。攻擊者利用了對用戶而言具吸引力的主題，例如免費的 Netflix 優惠券代碼、Google AdWords 優惠券代碼、投票選出最佳足球球隊或球員等誘使他們中計。

研究人員認為，該惡意軟件是源自一個總部設在越南的組織，其能以 Google Play 和其他應用程式商店作散播。Google 收到了相關惡意軟件的報告，核實真榷性後已將應用程式從商店中刪除。但報告亦指出，其中三個應用程式，仍可以在第三方、不安全的應用程式存儲庫中使用。一旦受害者下載該應用程序，便會被誘使輸入他們的 Facebook 帳戶資料，以便作投票或獲得優惠券代碼。輸入所有內容後，應用程式會將受害者帶到另一個畫面，並顯示相關「優惠券」已過期。

研究人員解釋，該惡意軟件使用一種稱為「JavaScript injection」的技術，該技術允許應用程式在配置了含 JavaScript injection 代碼的 WebView，並能打開 URL。然後，該應用程式透過注入惡意 JavaScript 代碼來擷取 cookie、用戶帳戶、位置和 IP 地址等資料。

Zimperium 建議 Android 用戶找方法檢查他們的設備上，是否有任何應用程式有 FlyTrap，並指出這些被破壞的帳戶，可被利用作殭屍網絡或用於其他目的，例如提高某些頁面或網站的受歡迎程度。Zimperium 研究人員表示，FlyTrap 旨在持續竊取針對移動裝置的個人憑證，通常是社交媒體、銀行應用程式、企業工具等未受保護的登錄信息的資料。 研究人員又指，FlyTrap 使用的工具和技術並不新鮮，但由於這些設備缺乏高端移動端點安全保護，因此其攻擊非常有效，入侵者無需花費太多時間即可獲取 FlyTrap 或任何其他木馬程式，並對其進行修改以獲得更多目標的關鍵訊息。

NTT 應用安全副總裁 Setu Kulkarni 表示，FlyTrap 利用了大量開放訪問的元數據。但最令人擔憂的是這種類型的木馬，可以從一個用戶傳播到多個用戶，產生巨大網絡效應。Kulkarni 擔憂，如果這種類型的木馬變成服務提供（as-a-service)，又或是迅速轉變為針對成千上萬用戶的勒索軟件，後果不堪設想。他認為 Google 和 Apple 應該為客戶群做更多來解決問題。

資料來源： https://zd.net/3xzFFW0