恶意移动APP的套路防不胜防!影响100万个脸书用户的中毒APP是如何对抗安全检测的?
Meta公司检测出影响100万Facebook用户的恶意 Android、iOS应用程序。 过去一年,约有400个移动应用程序在 Google Play和Apple App Store上冒充合法软件,旨在窃取Facebook用户凭据。Facebook正在联系其平台的大约100万用户,了解他们的账户详细信息可能被恶意 Android或 iOS应用程序破坏。
在10月7日的一篇博文中,Facebook的母公司Meta表示,其研究人员在过去一年中检测到400款恶意Android和iOS应用程序,这些应用程序旨在窃取Facebook用户的用户名和口令并企图操控他们的账户。中毒的应用程序被上传到谷歌和苹果的应用程序商店,并伪装成合法游戏、VPN服务、照片应用程序和其他实用程序。一些例子包括:
- 照片编辑器,包括那些声称允许您“将自己变成卡通”的编辑器
- 声称可以提高浏览速度或授予对被阻止内容或网站的访问权限的VPN
- 手机实用程序,例如声称可以照亮手机手电筒的手电筒应用程序
- 手机游戏虚假承诺高量3D图形
- 健康和生活方式应用程序,例如星座运势和健身追踪器
- 声称提供技术平台在官方应用程序中未发现的隐藏或未经授权的功能的商业或广告管理应用程序。
- 当用户下载并安装使用其中某款恶意应用程序时,它会提示他们输入用户的Facebook用户名和口令。Meta说,如果用户输入他们的凭据,攻击者将获得对个人账户、私人信息和社交媒体平台上朋友的完全访问权限。
“这是一个高度对抗的空间,虽然我们的行业同行致力于检测和删除恶意软件,但其中一些应用程序会逃避检测并进入合法的应用程序商店,”Meta威胁分析主管David Agranovich 和恶意软件发现和检测工程师Ryan Victory,在博客文章中写道。
Meta向苹果和谷歌报告了这些应用程序,研究人员指出,“我们还提醒那些可能通过下载这些中毒应用程序并共享其凭据而在不知不觉中自我损害其账户的人,注意观察他们自己的账户。”
成功冒充合法应用
Meta在Apple和Google的移动商店中检测到的许多iOS和Android 应用程序都声称具有一些有趣或有用的功能,例如音乐播放器和卡通图像编辑器。多个 (42%) 冒充照片编辑器,其中一些声称他们可以将用户的照片变成卡通片。
大约15%据称是商业实用程序,例如声称可以帮助用户访问被阻止的内容和网站或提高互联网浏览速度的VPN;14%是手机实用程序,例如据称有助于照亮的手电筒应用程序。
在Meta的研究人员发现的大约400个恶意应用程序中,手机游戏约占11%。Meta表示,虚假评论可能有助于提升其中一些应用程序的声誉,并有助于隐藏对这些应用程序的潜在负面评论。
Facebook没有透露这400个应用程序中有多少是基于Android的。但苹果表示,在Meta 博客文章中提到的400个应用程序中,有45 适用于iOS系统,剩下355个适用于Android系统。
谷歌发言人表示,Meta报告中确定的所有应用程序都不再在Google Play上可用。“用户还受到Google Play Protect的保护,它会在 Android上阻止这些应用程序,”他说。
Apple还确认这些应用程序已从App Store 中删除。
一个永恒的主题
恶意应用程序进入谷歌和苹果官方移动商店的问题绝非新鲜事。两家公司多年来一直在处理这个问题,并实施了许多机制来审查发布到其商店的第三方应用程序。
但是,恶意软件作者始终能够以最新的方式潜入他们的应用程序商店。攻击者通常用来绕过 Google和Apple测试流程的一种策略是将软件的恶意功能与良性功能分开,并在测试完成后使用dropper安装恶意代码。
多年来,许多安全供应商报告称在两家商店都发现了伪装成合法软件的恶意应用程序。最近的例子之一是BitDefende在Google Play上发现了35个恶意应用程序,这些应用程序的总下载量约为200万次。安全供应商发现一些旨在投放广告的应用程序在安装后重新命名,以增加检测和删除的难度。
7月,Dr. Web报告在Google Play上发现并向Google报告了近30个广告软件木马,总下载量超过980万。
虽然攻击者更倾向于以Play为目标,但 Apple App Store上也有许多类似的实例。9 月,Human Security的Satori研究团队报告了一项大规模的广告服务操作,其中涉及 Google Play上的数十个恶意应用程序和Apple App Store上的至少九个恶意应用程序。至少自2019年以来,这些应用程序的总下载量约为1300万次。
如何保持移动APP安全
有许多提供上述功能的合法应用程序,或者可能会要求您以安全可靠的方式登录Facebook。网络犯罪分子知道这些类型的应用程序有多受欢迎,并使用这些主题来欺骗人们并窃取他们的帐户和信息。
恶意软件应用程序通常具有将它们与合法应用程序区分开来的迹象。在使用Facebook帐户登录移动应用程序之前,需要考虑以下几点:以下是研究人员发现在用户使用社交媒体帐户登录之前无法提供任何功能的恶意软件应用程序示例。
一是特别小心需要社交媒体凭据才能使用的APP; 如果您不提供Facebook信息,该应用程序是否无法使用?例如,对需要您的Facebook登录名和口令才能使用它的照片编辑应用程序持怀疑态度。
二是查看APP的声誉:应用程序是否有信誉?查看其下载次数、评分和评论,包括负面评论。
三是关注APP承诺的功能:该应用程序是否提供了它所说的功能,无论是在登录之前还是之后?
如果用户怀疑下载了恶意应用程序并使用自己的社交媒体或其他在线凭据登录,研究人员建议用户立即从设备中删除该应用程序并按照以下说明保护帐户的安全:
一是重置并创建新的强口令 ;切勿在多个网站上重复使用您的口令。
二是启用双因素身份验证;最好使用Authenticator应用程序,为您的帐户添加额外的安全层。
三是开启登录警报揭示功能,以便在有人试图访问您的帐户时收到通知。请务必查看之前的登录会话,以确保您识别哪些设备可以访问您的帐户。
研究人员还鼓励用户通过他们的数据滥用赏金计划向其报告危害元帐户的恶意应用程序。相关的威胁指标也以CSV、TSV和JSON 格式提供,网址为https://github.com/facebook/malware-detection。
参考资源
1、https://www.darkreading.com/remote-workforce/meta-flags-malicious-android-ios-apps-affecting-1m-facebook-users
2、https://about.fb.com/news/2022/10/protecting-people-from-malicious-account-compromise-apps/
