小心！有假的Android版Clubhouse將會竊取你的臉書、WhatsApp等帳密資訊

安全研究人員警告，一隻惡意程式化身Android版Clubhouse App透過以假亂真的官網散佈，伺機竊取包括臉書、WhatsApp、推特等450項服務的登入帳密。

iOS版語音聊天室Clubhouse在Elon Musk、Mark Zuckerberg等名人加持下爆紅，迄今下載次數已突破1300萬。這也吸引網路歹徒動歪腦筋。ESET研究人員Lukas Stefanko發現一隻假的Android版Clubhouse，企圖騙取Android用戶的帳密。

為了增加可信度，歹徒還先將用戶連向以極似Clubhouse官網的網站，吸引他們下載假App。一旦用戶點選「Get it on Google Play」，這假App就會自動下載APK到用戶手機上。但合法的Android App並不是如此，而是會將用戶導向Google Play下載。

目前不知駭客是如何散佈假Clubhouse網站的連結，但可能是透過社群網站或論壇等平台。研究人員指出，仔細一看，這假網站使用的是HTTP，而非HTTPS網連結，此外，它的頂級域名是.mobi，而不是合法網域會用的.com。

不知情而下載假冒Clubhouse App的用戶將被植入名為BlackRock的木馬程式。這個程式是去年7月被發現，是LokiBot木馬的變種，後者攻擊目標涵括金融、銀行App，以及一大堆知名知名Android App。

ESET分析，BlackRock植入用戶裝置後會蒐集至少458種線上服務的登入資訊，從臉書、Outlook、推特、WhatsApp、Amazon、Netflix、eBay、CoinBase等不一足。

它使用一種覆蓋攻擊(overlay attack)來騙取登入資訊。這類攻擊是在用戶常登入的網站App上外覆一層程式碼，然後要求用戶登入，藉此把帳密竊走。

這隻惡意程式另一技倆是要求受害者同意它啟用手機上的輔助服務，以便取得手機相機、通訊錄或SMS訊息存取權。此外它還會攔截SMS簡訊傳送的雙因素驗證（2FA）碼。

研究人員警告，隨著Clubhouse的火紅，將會有更多冒牌貨出現，尤其是瞄準想玩玩不到的Android用戶。

不過正牌Clubhouse也有不少爭議，例如在該App上傳送的對話會被錄下。法國隱私主管機關最近已就Clube的用戶隱私保護措施啟動調查。