偽谷歌應(yīng)用竊取加密貨幣交易所的用戶信息

責(zé)任編輯:editor004

作者:J1anCan

2017-10-27 12:06:48

摘自:黑客與極客

近日,研究人員在谷歌應(yīng)用商店上發(fā)現(xiàn)了偽裝成合法應(yīng)用的兩個(gè)惡意軟件來(lái)竊取用戶的登錄憑據(jù),其中,Poloniex 加密貨幣交易所的用戶是這些偽應(yīng)用的頭號(hào)目標(biāo)。

近日,研究人員在谷歌應(yīng)用商店上發(fā)現(xiàn)了偽裝成合法應(yīng)用的兩個(gè)惡意軟件來(lái)竊取用戶的登錄憑據(jù),其中,Poloniex 加密貨幣交易所的用戶是這些偽應(yīng)用的頭號(hào)目標(biāo)。它們除了竊取Poloniex用戶的登錄憑據(jù)外,還通過(guò)欺騙手段以達(dá)到惡意訪問(wèn)受害者的Gmail帳戶的目的。

1.jpg

隨著加密貨幣的不斷升值,網(wǎng)絡(luò)犯罪分子正通過(guò)各種手段和渠道(侵入瀏覽器、含漏洞的計(jì)算機(jī),釣魚(yú)網(wǎng)站和惡意軟件等)竊取用戶的登錄憑據(jù)。

Poloniex作為全球著名的加密貨幣交易所之一,具有超過(guò)100種的加密貨幣可提供購(gòu)買(mǎi)與被交易,正因?yàn)槿绱耍彩浅蔀榉缸锓肿庸舻氖走x目標(biāo)的原因之一,同時(shí),由于Poloniex沒(méi)有自己的官方移動(dòng)應(yīng)用程序,使得犯罪分子能夠輕易通過(guò)偽造其官方應(yīng)用來(lái)竊取用戶的登錄憑據(jù)。

2款惡意軟件的介紹

第一款?lèi)阂廛浖麨?ldquo;POLONIEX”,開(kāi)發(fā)人員為“Poloniex”,于 2017年 8月 28日潛入谷歌應(yīng)用商店,盡管它的評(píng)分較低評(píng)價(jià)也不大好,截止到2017年9月19日,它還是被下載安裝高達(dá)5000多次。

第二款?lèi)阂廛浖麨?ldquo;Poloniex exchange”,開(kāi)發(fā)人員為“Poloniex Company”,于2017年10月15日出現(xiàn)在谷歌應(yīng)用商店中,在ESET通知谷歌應(yīng)用商店下架它之前,顯示被用戶下載安裝了500多次。

圖1

圖2

  攻擊者是如何操作的?

要通過(guò)惡意軟件來(lái)接管用戶的Poloniex帳戶,攻擊者首先在獲取用戶的登錄憑據(jù)后,訪問(wèn)與被攻擊用戶的Poloniex帳戶所關(guān)聯(lián)的電子郵件帳戶,并且刪除所有未授權(quán)的與登錄、交易相關(guān)的提醒郵件,最后,攻擊者對(duì)他們的應(yīng)用程序進(jìn)行“看起來(lái)很實(shí)用”的包裝,使得用戶在使用該惡意軟件時(shí)并不感到懷疑。

事實(shí)上,這兩款?lèi)阂廛浖褂玫氖窍嗤舴椒▉?lái)獲利。在用戶打開(kāi)惡意軟件后,軟件會(huì)顯示一個(gè)Poloniex登錄的假頁(yè)面。

1.png

當(dāng)用戶輸入了自己的帳號(hào)密碼并點(diǎn)擊“登錄”時(shí),該帳號(hào)的所有信息將會(huì)發(fā)送給攻擊者。 如果用戶的Poloniex帳號(hào)剛好沒(méi)有啟用雙重身份驗(yàn)證(郵箱驗(yàn)證),那么攻擊者可以馬上登錄該帳戶并執(zhí)行各種操作,比如更改用戶設(shè)置,更改密碼使得原用戶登錄失敗等。 當(dāng)然,如果原用戶使用了雙重身份驗(yàn)證,那么賬戶就安全得多。 這是因?yàn)镻oloniex通過(guò)谷歌驗(yàn)證向用戶提供雙重的身份驗(yàn)證,且隨機(jī)生成登錄驗(yàn)證碼并通過(guò)短信、語(yǔ)音或谷歌驗(yàn)證軟件等方式發(fā)送給用戶,這些隨機(jī)驗(yàn)證碼攻擊者是收不到的。

另外,如果攻擊者成功地竊取到了用戶的登錄憑據(jù),他們也會(huì)竊取用戶的Gmail帳號(hào)密碼; 假軟件會(huì)顯示一個(gè)假Google帳號(hào)登錄頁(yè)面,要求用戶使用Google帳戶登錄進(jìn)行雙重身份驗(yàn)證。

1.png

在用戶點(diǎn)擊登錄后,假軟件將請(qǐng)求允許查看該用戶的電子郵件消息和設(shè)置以及基本配置等文件信息。

1.png

如果用戶授予權(quán)限,假軟件將獲得對(duì)其收件箱的訪問(wèn)權(quán),通過(guò)訪問(wèn)用戶的Poloniex帳戶以及關(guān)聯(lián)的Gmail帳戶,攻擊者可以使用受害者帳戶進(jìn)行交易,在其收件箱中刪除有關(guān)未經(jīng)授權(quán)登錄和交易的任何提醒郵件。

最后,為了避免引起用戶的懷疑,假軟件將用戶引導(dǎo)到Poloniex的官方網(wǎng)站,并且,該網(wǎng)站會(huì)要求用戶進(jìn)行登錄操作。

1.png

用戶登錄進(jìn)去之后,訪問(wèn)和使用的是Poloniex的官方網(wǎng)站,從那時(shí)起,惡意軟件每次啟動(dòng)后都將直接跳轉(zhuǎn)到Poloniex的官方網(wǎng)站。

如何保護(hù)自己的賬戶不受攻擊?

如果你是Poloniex用戶,并且你的手機(jī)已經(jīng)安裝了這兩款?lèi)阂廛浖紫日?qǐng)立即進(jìn)行卸載,然后馬上更改你的Poloniex和Gmail賬戶的密碼,然后設(shè)置開(kāi)啟“啟用賬戶的雙重身份驗(yàn)證”。

并且,為了避免以后受到類(lèi)似的攻擊,你還可以這樣做:

盡量從官方提供的下載渠道下載軟件,確保軟件是官方開(kāi)發(fā)的、安全的

在應(yīng)用商店下載軟件時(shí)留意軟件的星級(jí)和評(píng)論

遠(yuǎn)離釣魚(yú)網(wǎng)站,仔細(xì)觀察和分辨是否會(huì)是釣魚(yú)網(wǎng)站

開(kāi)啟賬戶的雙重身份驗(yàn)證

安裝安全軟件,檢測(cè)所下載的軟件是否為惡意軟件

*參考來(lái)源: welivesecurity ,由J1anCan編譯,轉(zhuǎn)載請(qǐng)注明來(lái)自 FreeBuf.COM

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)