小心!有假的 Android 版 Clubhouse 將會竊取你的臉書、WhatsApp 等帳密資訊

安全研究人員警告,一隻惡意程式化身Android版Clubhouse App透過以假亂真的官網散佈,伺機竊取包括臉書、WhatsApp、推特等450項服務的登入帳密。

安全研究人員警告,一隻惡意程式化身 Android 版 Clubhouse App 透過以假亂真的官網散佈,伺機竊取包括臉書、WhatsApp、推特等 450 項服務的登入帳密。

iOS 版語音聊天室 Clubhouse 在 Elon Musk、Mark Zuckerberg 等名人加持下爆紅,迄今下載次數已突破 1300 萬。這也吸引網路歹徒動歪腦筋。ESET 研究人員 Lukas Stefanko 發現一隻假的 Android 版 Clubhouse,企圖騙取 Android 用戶的帳密。

為了增加可信度,歹徒還先將用戶連向以極似 Clubhouse 官網的網站,吸引他們下載假 App。一旦用戶點選「Get it on Google Play」,這假 App 就會自動下載 APK 到用戶手機上。但合法的 Android App 並不是如此,而是會將用戶導向 Google Play 下載。

目前不知駭客是如何散佈假 Clubhouse 網站的連結,但可能是透過社群網站或論壇等平台。研究人員指出,仔細一看,這假網站使用的是 HTTP,而非 HTTPS 網連結,此外,它的頂級域名是.mobi,而不是合法網域會用的.com。

真面目:BlackRock 木馬

不知情而下載假冒 Clubhouse App 的用戶將被植入名為 BlackRock 的木馬程式。這個程式是去年 7 月被發現,是 LokiBot 木馬的變種,後者攻擊目標涵括金融、銀行 App,以及一大堆知名知名 Android App。

ESET 分析,BlackRock 植入用戶裝置後會蒐集至少 458 種線上服務的登入資訊,從臉書、Outlook、推特、WhatsApp、Amazon、Netflix、eBay、CoinBase 等不一足。

它使用一種覆蓋攻擊 (overlay attack) 來騙取登入資訊。這類攻擊是在用戶常登入的網站 App 上外覆一層程式碼,然後要求用戶登入,藉此把帳密竊走。

這隻惡意程式另一技倆是要求受害者同意它啟用手機上的輔助服務,以便取得手機相機、通訊錄或 SMS 訊息存取權。此外它還會攔截 SMS 簡訊傳送的雙因素驗證(2FA)碼。

研究人員警告,隨著 Clubhouse 的火紅,將會有更多冒牌貨出現,尤其是瞄準想玩玩不到的 Android 用戶。

不過正牌 Clubhouse 也有不少爭議,例如在該 App 上傳送的對話會被錄下。法國隱私主管機關最近已就 Clube 的用戶隱私保護措施啟動調查。

來源:Threatpost

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416