InstaAgent換名為InstaCare,再次成為熱門下載應用程式
在去年年底,一個名為InstaAgent的應用程式愚弄了數千名iOS和Android使用著,給出它們Instagram的帳號憑證好來知道誰在看自己的個人檔案。但其實這應用程式所真正做的是將這些登錄憑證發送到一個未知伺服器,劫持使用者帳號來任意發表圖片。InstaAgent經過了精心的設計(至少在社交工程(social engineering )的角度上),在Apple App Store下架前達到近五十萬的下載次數。
現在看起來,它的開發者進行了第二次的嘗試,有著一切相同的元素,只是用了不同的名稱:InstaCare。這個應用程式做跟InstaAgent一樣的事情,它會竊取使用者資料並劫持帳號 – 而且再一次地,它達到一樣的成功。據導,InstaCare甚至在某些國家進入Apple App Store下載排名榜的最高點。在本文撰寫時,該應用程式似乎已經被下架,但想想其可下載期間所達到的使用者數量,它的確成功了。
InstaAgent,InstaCare以及類似的騙人應用程式證明社群媒體本身仍是有效的社交工程(social engineering )誘餌。並不能完全怪罪使用者希望知道誰看了自己的個人檔案,到Apple App Store和Google Play上搜尋類似的關鍵字就會發現這是個歹徒聚寶盆,有許多其他應用程式也宣稱有類似功能。
應該要再重申一次,到目前為止,沒有合法而安全的應用程式可以讓社群媒體使用者知道誰看了其社群媒體帳號。除了LinkedIn的個人檔案檢視通知外,社群媒體網站和應用程式既不提供也不支援這種服務。
[延伸閱讀:InstaAgent證明了社群媒體檢視詐騙仍然有效]
趨勢科技將此iOS和Android設備上的惡意行動應用程式偵測為IOS_INSTASTEALER.A和ANDROIDOS_INSTASTEALER.A,安裝行動安全應用程式,像是趨勢科技「安全達人」免費行動防護App( Android / iOS )可以幫助使用者免於此類威脅。
下載過的人應該要移除這惡意應用程式,並建議變更自己的帳號密碼。要再三提醒的是,使用者要時時注意自己所下載的應用程式。InstaCare的回歸再次提醒了,雖然應用程式商店會盡力確保自己所提供應用程式的品質和安全性,還是會有許多漏網之魚。
安裝前要仔細檢查應用程式。評論都說些什麼?是不是都只有5星跟1星的評等?最重要的是,在你決定安裝前先確認它所要求的權限,是不是要求了比它所需還要多的權限?如果有疑問,只管放棄它。
@原文出處:InstaAgent Scam App Resurfaces as InstaCare, Becomes Top App Download Again