小心!有假的Android版Clubhouse將會竊取你的臉書、WhatsApp等帳密資訊
安全研究人員警告,一隻惡意程式化身Android版Clubhouse App透過以假亂真的官網散佈,伺機竊取包括臉書、WhatsApp、推特等450項服務的登入帳密。
iOS版語音聊天室Clubhouse在Elon Musk、Mark Zuckerberg等名人加持下爆紅,迄今下載次數已突破1300萬。這也吸引網路歹徒動歪腦筋。ESET研究人員Lukas Stefanko發現一隻假的Android版Clubhouse,企圖騙取Android用戶的帳密。
為了增加可信度,歹徒還先將用戶連向以極似Clubhouse官網的網站,吸引他們下載假App。一旦用戶點選「Get it on Google Play」,這假App就會自動下載APK到用戶手機上。但合法的Android App並不是如此,而是會將用戶導向Google Play下載。
目前不知駭客是如何散佈假Clubhouse網站的連結,但可能是透過社群網站或論壇等平台。研究人員指出,仔細一看,這假網站使用的是HTTP,而非HTTPS網連結,此外,它的頂級域名是.mobi,而不是合法網域會用的.com。
真面目:BlackRock木馬
不知情而下載假冒Clubhouse App的用戶將被植入名為BlackRock的木馬程式。這個程式是去年7月被發現,是LokiBot木馬的變種,後者攻擊目標涵括金融、銀行App,以及一大堆知名知名Android App。
ESET分析,BlackRock植入用戶裝置後會蒐集至少458種線上服務的登入資訊,從臉書、Outlook、推特、WhatsApp、Amazon、Netflix、eBay、CoinBase等不一足。
它使用一種覆蓋攻擊(overlay attack)來騙取登入資訊。這類攻擊是在用戶常登入的網站App上外覆一層程式碼,然後要求用戶登入,藉此把帳密竊走。
這隻惡意程式另一技倆是要求受害者同意它啟用手機上的輔助服務,以便取得手機相機、通訊錄或SMS訊息存取權。此外它還會攔截SMS簡訊傳送的雙因素驗證(2FA)碼。
研究人員警告,隨著Clubhouse的火紅,將會有更多冒牌貨出現,尤其是瞄準想玩玩不到的Android用戶。
不過正牌Clubhouse也有不少爭議,例如在該App上傳送的對話會被錄下。法國隱私主管機關最近已就Clube的用戶隱私保護措施啟動調查。
來源:Threatpost