小心！有假的 Android 版 Clubhouse 將會竊取你的臉書、WhatsApp 等帳密資訊

安全研究人員警告，一隻惡意程式化身 Android 版 Clubhouse App 透過以假亂真的官網散佈，伺機竊取包括臉書、WhatsApp、推特等 450 項服務的登入帳密。

iOS 版語音聊天室 Clubhouse 在 Elon Musk、Mark Zuckerberg 等名人加持下爆紅，迄今下載次數已突破 1300 萬。這也吸引網路歹徒動歪腦筋。ESET 研究人員 Lukas Stefanko 發現一隻假的 Android 版 Clubhouse，企圖騙取 Android 用戶的帳密。

為了增加可信度，歹徒還先將用戶連向以極似 Clubhouse 官網的網站，吸引他們下載假 App。一旦用戶點選「Get it on Google Play」，這假 App 就會自動下載 APK 到用戶手機上。但合法的 Android App 並不是如此，而是會將用戶導向 Google Play 下載。

目前不知駭客是如何散佈假 Clubhouse 網站的連結，但可能是透過社群網站或論壇等平台。研究人員指出，仔細一看，這假網站使用的是 HTTP，而非 HTTPS 網連結，此外，它的頂級域名是.mobi，而不是合法網域會用的.com。

真面目：BlackRock 木馬

不知情而下載假冒 Clubhouse App 的用戶將被植入名為 BlackRock 的木馬程式。這個程式是去年 7 月被發現，是 LokiBot 木馬的變種，後者攻擊目標涵括金融、銀行 App，以及一大堆知名知名 Android App。

ESET 分析，BlackRock 植入用戶裝置後會蒐集至少 458 種線上服務的登入資訊，從臉書、Outlook、推特、WhatsApp、Amazon、Netflix、eBay、CoinBase 等不一足。

它使用一種覆蓋攻擊 (overlay attack) 來騙取登入資訊。這類攻擊是在用戶常登入的網站 App 上外覆一層程式碼，然後要求用戶登入，藉此把帳密竊走。

這隻惡意程式另一技倆是要求受害者同意它啟用手機上的輔助服務，以便取得手機相機、通訊錄或 SMS 訊息存取權。此外它還會攔截 SMS 簡訊傳送的雙因素驗證（2FA）碼。

研究人員警告，隨著 Clubhouse 的火紅，將會有更多冒牌貨出現，尤其是瞄準想玩玩不到的 Android 用戶。

不過正牌 Clubhouse 也有不少爭議，例如在該 App 上傳送的對話會被錄下。法國隱私主管機關最近已就 Clube 的用戶隱私保護措施啟動調查。

來源：Threatpost