下載逾五萬次的Android遊戲,暗中竊取 Facebook 和 Google 登入憑證

已經累積了超過 5 萬次下載的 Android 恐怖遊戲:
「Scary Granny ZOMBYE Mod: The Horror Game 2019」,刻意要借助另一款熱門遊戲「Granny」的知名度, 會竊取 Facebook 和 Google 使用者的登入憑證,並且還會出現其他惡意行為。
它運用了網路釣魚常用的伎倆,比如 跳出 Google Play 服務更新通知; 以「com.googles.android.gms」企圖讓受害者以為是「com.google.android.gms」正牌套件 (只差一個「s」字母)等等。

安裝前兩天不會出現惡意行為 直到跳出更新 Google Play 服務通知

這款遊戲的名稱是「Scary Granny ZOMBYE Mod: The Horror Game 2019」,顯然是刻意要借助另一款熱門遊戲「Granny」的知名度。為了避免玩家起疑,該遊戲在安裝之初的兩天內都不會出現任何惡意行為。

此遊戲首先會試圖利用網路釣魚(Phishing)方式蒐集使用者的 Google 登入憑證。它會顯示通知要使用者更新 Google Play 服務,並顯示一個假冒的登入頁面。而此頁面就像其他網路釣魚頁面一樣露出了破綻,在「sign in」(登入) 的字樣當中出現拼字錯誤。

若使用者不小心輸入了自己的登入憑證,惡意程式就會利用內建的瀏覽器和某個經過加密編碼的程式套件來登入使用者的 Google 帳號。這個經過加密編碼的套件還刻意取名成跟正常的 Android 應用程式套件很像,例如「com.googles.android.gms」,這跟 Google 某個名為「com.google.android.gms」的套件幾乎完全一樣 (只差一個「s」字母)。除此之外,惡意程式還用到了一個 Facebook 的程式套件叫作「com.facebook.core」,此套件似乎與 Google 的套件功能一樣。

在成功登入使用者帳號之後,惡意程式就會進一步蒐集更多使用者相關資訊,例如:備援電子郵件、生日、驗證碼、備援電話號碼、cookie及金鑰。

廣告偽裝山寨版知名應用程式,要受害者支付22 美元遊戲費用

除了竊取使用者登入憑證之外,惡意程式還會假扮成知名的應用程式,顯示成好像已開啟的應用程式畫面。但若仔細端詳其畫面之後會發現,這其實是惡意程式開啟的畫面。目的是要使用者支付 22 美元的遊戲費用。

假冒的 Google 登入畫面覆蓋在螢幕

此惡意程式運用了一些持續潛伏技巧讓使用者很難將它移除。當裝置重新開機時,它會自動啟動並將其假冒的 Google 登入畫面覆蓋在螢幕上。

該遊戲會在開機時要求使用者提供執行權限,因此就能在重新開機後繼續執行。

只在舊版的 Android 作業系統上運作

根據發現此惡意程式的 Wandera 研究人員表示,前述惡意行為只能在舊版的 Android 作業系統上運作。

此外研究人員也指出,該遊戲如果是在最新的 Android 版本上執行,就會像正常的遊戲一樣,完全不會出現惡意行為。換句話說,開發該程式的人還刻意花了一番功夫打造一個真正能玩的遊戲,目的是希望說服玩家花錢支持該遊戲。不過,在恐怖遊戲的外衣底下,此程式畢竟還是暗藏了其他惡意伎倆。

它巧妙結合了當今最容易賺錢的一些不當手法,這也突顯了網路釣魚依然是行動裝置最主要的威脅之一。除此之外,我們也看到歹徒如何搭配運用其它伎倆 (如廣告詐騙) 來開拓其他財源

[延伸閱讀:Mobile Ad Fraud Schemes: How They Work, and How to Defend Against Them]

趨勢科技行動安全防護 偵測並攔截惡意程式和詐騙網站

趨勢科技行動安全防護防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還有偵測並攔截惡意程式和詐騙網站。 

原文出處:Android Horror Game Hides Facebook and Google Credential Stealing Tactics