趨勢科技在 Google Play 商店上總共發現了 53 個會竊取 Facebook 帳號並暗中推播廣告的應用程式。這些應用程式當中,有許多是早在 2017 年 4 月就已上架,而且似乎是在同一期間整批上架。趨勢將偵測到的惡意廣告程式命名為:ANDROIDOS_GHOSTTEAM。在我們偵測到的樣本當中,有許多都是採用越南文,就連它們在 Google Play 上的說明也是。
該程式幕後操縱 (C&C) 伺服器的網址也位於越南:mspace.com.vn。從這一點以及大量使用越南文來看,很可能意味著這些應用程式來自越南,例如,GhostTeam 的組態設定就是使用英文和越南文。如果惡意程式偵測到自己所在的位置不在越南,就會預設使用英文。
利用影片下載程式為社交工程誘餌,吸引想要將影片下載到裝置上離線觀賞的使用者
這些應用程式會偽裝成工具程式 (閃光燈、QR Code 掃描器、指南針)、效能優化程式 (檔案傳輸、清除) 以及最重要的:社群網站影片下載程式。它們利用影片下載程式為社交工程誘餌,吸引想要將影片下載到裝置上離線觀賞的使用者,這一點與我們偵測到的 GhostTeam 行為吻合。根據報導,印度、印尼、巴西、越南及菲律賓已成為 Facebook 用戶最多的國家,所以也因此成為 GhostTeam 肆虐最嚴重的國家。
失竊的帳號很可能將被組成社群網路殭屍大軍,大量散發假新聞或數位加密貨幣採礦惡意程式
雖然目前我們尚未發現網路犯罪集團將竊取到的 Facebook 帳號用於其他攻擊行動,但這一點應該是無庸置疑的事。因為,就其他的網路攻擊和威脅的案例來看 (如「Onliner」垃圾郵件散發殭屍網路),這些失竊的帳號很可能將被用於散發更具破壞力的惡意程式,或者組成社群網路殭屍大軍,大量散發假新聞或數位加密貨幣採礦惡意程式。由於 Facebook 帳號很可能含有各種其他金融帳號相關資訊或個人身分識別資訊,因此在地下網路上算是常態商品。
圖 1:GhostTeam 肆虐最嚴重的國家。
除此之外,應用程式當中還有一項有關作者的線索:該惡意程式的早期版本在程式碼當中曾經出現過「ghostteam」字樣。這個「ghostteam」程式套件當中含有一些程式碼會要求使用者安裝一個惡意檔案 (GhostTeam_Demo.mp4)。它們會偽裝成某知名網際網路服務廠商的套件名稱。
圖 2:會暗中竊取 Facebook 帳號的應用程式圖示。
圖 3:「ghostteam」程式套件所在的程式碼結構。
GhostTeam 如何竊取 Facebook 帳號登入憑證?
惡意程式為了確保能夠成功感染裝置,它會先確認自己所在的裝置不是模擬器或虛擬環境,才會去下載惡意檔案。而下載的惡意檔案會偽裝成「Google Play Services」(Google Play 服務) 應用程式,並假裝對應用程式進行驗證。不知情的使用者一旦開啟了 Google Play 或 Facebook 應用程式,惡意程式就會顯示一個警示通知,要使用者安裝這個假的「Google Play Services」。安裝之後,這個惡意檔案會再要求使用者啟用/開啟裝置管理員。
如同過去許多 Android 勒索病毒、越權廣告程式 (如:TOASTAMIGO) 以及 GhostCtrl 後門程式的案例一樣,取得裝置管理員權限是惡意程式防止使用者將它們移除的一種手段。
然而 GhostTeam 的主要目標是 Facebook 帳號,當使用者開啟 Facebook 應用程式時,會看到一個對話方塊要求使用者驗證自己的帳號。所謂的驗證,就是登入自己的帳號。然而此時惡意程式會在背後執行一個 WebView用戶端 (負責幫 Android 應用程式顯示網頁)。這個 WebView 用戶端會偷走使用者用登入 Facebook 應用程式的電子郵件地址和密碼,然後傳送到 C&C 伺服器。
圖 4:負責竊取 Facebook 登入憑證的程式碼 (上半部為加密狀態,下半部為解密後的程式碼)。
圖 5:GhostTeam 將偷到的登入憑證傳送給 C&C 伺服器。
GhostTeam 還會推播廣告
除了竊取 Facebook 帳號登入憑證之外,GhostTeam 還會不斷彈出廣告。由於它會在背景不斷產生廣告,所以裝置將不會進入睡眠狀態。如果使用者正在操作裝置,它就會在首頁上顯示全螢幕廣告。
圖 6:GhostTeam 偽裝成影片下載器。
最佳防範之道
雖然,不是所有應用程式顯示的廣告都一定是惡意廣告,但如果已經到了侵犯的程度,或是蒐集過多非必要的資訊,或者成為惡意程式入侵的管道,那就是個非解決不可的問題。使用者只要停用裝置管理員功能,就能大大降低 GhostTeam 的問題,該功能通常是保留給需要安全權限的應用程式使用,例如:企業自行開發的應用程式、個人自備裝置 (BYOD) 管理軟體、防毒軟體等等。
隨時保持警戒也有助於維持安全,例如,讓裝置的作業系統與應用程式隨時保持更新並不時修補。在安裝應用程式之前,先看看他人對程式的評論如何。此外,如果程式出現一些可疑的行為 (例如:要求使用者提供過多不必要的權限) 也是一種警訊。不過更重要的,小心您在網路上分享的內容,有時候甚至一點點看似無關緊要的資訊,例如電子郵件地址,也可能被歹徒用來對您不利。
我們已經將發現到的問題通報給 Google,而該公司也迅速將 Google Play 上所有惡意的應用程式下架。此外,Google Play 安全防護也已相對更新,並針對違反 Google Play 政策的應用程式採取適當行動。Google Play 安全防護提供了更完整的安全防護來確保整個生態系都能獲得嚴密而全面的保護。同時,我們也和 Facebook 取得聯繫,提供我們所發現的結果。該公司在一份官方聲明當中表示:「我們已盡能力所及攔截並防止這些應用程式散布,而我們也設置了一些系統來協助偵測帳號與登入憑證被盜的情況。」
有關上述惡意程式的完整入侵指標 (IoC),包括:相關雜湊碼 (SHA256)、程式套件名稱、應用程式名稱等等,請參閱這份附錄。
趨勢科技解決方案
趨勢科技行動安全防護可攔截上述相關惡意應用程式。除此之外,其多層式的防護也能守護裝置的資料與隱私,並且防範勒索病毒、詐騙網站以及身分盜用,有助於保障一般使用者和企業的安全。
針對企業機構,趨勢科技企業版行動安全防護提供了裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還有偵測並攔截惡意程式和詐騙網站。
趨勢科技的行動應用程式信譽評等服務 (MARS) 已經可利用先進的沙盒模擬分析與機器學習技術來防範 Android 及 iOS 的威脅,防止使用者遭到惡意程式、零時差漏洞、已知漏洞、隱私外洩、應用程式漏洞等危害。
原文出處:GhostTeam Adware can Steal Facebook Credentials 作者:Kevin Sun (行動裝置威脅分析師)
PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。