趨勢科技在 Google Play 商店上總共發現了 53 個會竊取 Facebook 帳號並暗中推播廣告的應用程式。這些應用程式當中,有許多是早在 2017 年 4 月就已上架,而且似乎是在同一期間整批上架。趨勢將偵測到的惡意廣告程式命名為:ANDROIDOS_GHOSTTEAM。在我們偵測到的樣本當中,有許多都是採用越南文,就連它們在 Google Play 上的說明也是。
該程式幕後操縱 (C&C) 伺服器的網址也位於越南:mspace.com.vn。從這一點以及大量使用越南文來看,很可能意味著這些應用程式來自越南,例如,GhostTeam 的組態設定就是使用英文和越南文。如果惡意程式偵測到自己所在的位置不在越南,就會預設使用英文。
利用影片下載程式為社交工程誘餌,吸引想要將影片下載到裝置上離線觀賞的使用者
這些應用程式會偽裝成工具程式 (閃光燈、QR Code 掃描器、指南針)、效能優化程式 (檔案傳輸、清除) 以及最重要的:社群網站影片下載程式。它們利用影片下載程式為社交工程誘餌,吸引想要將影片下載到裝置上離線觀賞的使用者,這一點與我們偵測到的 GhostTeam 行為吻合。根據報導,印度、印尼、巴西、越南及菲律賓已成為 Facebook 用戶最多的國家,所以也因此成為 GhostTeam 肆虐最嚴重的國家。
失竊的帳號很可能將被組成社群網路殭屍大軍,大量散發假新聞或數位加密貨幣採礦惡意程式
雖然目前我們尚未發現網路犯罪集團將竊取到的 Facebook 帳號用於其他攻擊行動,但這一點應該是無庸置疑的事。因為,就其他的網路攻擊和威脅的案例來看 (如「Onliner」垃圾郵件散發殭屍網路),這些失竊的帳號很可能將被用於散發更具破壞力的惡意程式,或者組成社群網路殭屍大軍,大量散發假新聞或數位加密貨幣採礦惡意程式。由於 Facebook 帳號很可能含有各種其他金融帳號相關資訊或個人身分識別資訊,因此在地下網路上算是常態商品。
圖 1:GhostTeam 肆虐最嚴重的國家。
除此之外,應用程式當中還有一項有關作者的線索:該惡意程式的早期版本在程式碼當中曾經出現過「ghostteam」字樣。這個「ghostteam」程式套件當中含有一些程式碼會要求使用者安裝一個惡意檔案 (GhostTeam_Demo.mp4)。它們會偽裝成某知名網際網路服務廠商的套件名稱。
圖 2:會暗中竊取 Facebook 帳號的應用程式圖示。 繼續閱讀