小心!有假的Android版Clubhouse將會竊取你的臉書、WhatsApp等帳密資訊

安全研究人員警告,一隻惡意程式化身Android版Clubhouse App透過以假亂真的官網散佈,伺機竊取包括臉書、WhatsApp、推特等450項服務的登入帳密。

安全研究人員警告,一隻惡意程式化身Android版Clubhouse App透過以假亂真的官網散佈,伺機竊取包括臉書、WhatsApp、推特等450項服務的登入帳密。

iOS版語音聊天室Clubhouse在Elon Musk、Mark Zuckerberg等名人加持下爆紅,迄今下載次數已突破1300萬。這也吸引網路歹徒動歪腦筋。ESET研究人員Lukas Stefanko發現一隻假的Android版Clubhouse,企圖騙取Android用戶的帳密。

為了增加可信度,歹徒還先將用戶連向以極似Clubhouse官網的網站,吸引他們下載假App。一旦用戶點選「Get it on Google Play」,這假App就會自動下載APK到用戶手機上。但合法的Android App並不是如此,而是會將用戶導向Google Play下載。

目前不知駭客是如何散佈假Clubhouse網站的連結,但可能是透過社群網站或論壇等平台。研究人員指出,仔細一看,這假網站使用的是HTTP,而非HTTPS網連結,此外,它的頂級域名是.mobi,而不是合法網域會用的.com。

真面目:BlackRock木馬

不知情而下載假冒Clubhouse App的用戶將被植入名為BlackRock的木馬程式。這個程式是去年7月被發現,是LokiBot木馬的變種,後者攻擊目標涵括金融、銀行App,以及一大堆知名知名Android App。

ESET分析,BlackRock植入用戶裝置後會蒐集至少458種線上服務的登入資訊,從臉書、Outlook、推特、WhatsApp、Amazon、Netflix、eBay、CoinBase等不一足。

它使用一種覆蓋攻擊(overlay attack)來騙取登入資訊。這類攻擊是在用戶常登入的網站App上外覆一層程式碼,然後要求用戶登入,藉此把帳密竊走。

這隻惡意程式另一技倆是要求受害者同意它啟用手機上的輔助服務,以便取得手機相機、通訊錄或SMS訊息存取權。此外它還會攔截SMS簡訊傳送的雙因素驗證(2FA)碼。

研究人員警告,隨著Clubhouse的火紅,將會有更多冒牌貨出現,尤其是瞄準想玩玩不到的Android用戶。

不過正牌Clubhouse也有不少爭議,例如在該App上傳送的對話會被錄下。法國隱私主管機關最近已就Clube的用戶隱私保護措施啟動調查。

來源:Threatpost

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416