08 十二月 2022 0 566

嵌入式面罩制作者安卓特洛伊木马应用程序在Google Play商店中窃取超过10万份Facebook凭据

安卓用户应避免安装来自未知开发人员的应用程序。Pradeo的研究人员最近发现了一种安全风险,其形式是名为Craftsart Cartoon Photo Tool的恶意 “Facestealer” 间谍软件,该间谍软件已在GooglePlay商店分发,成功瞄准了数千名安卓用户。

Facestealer 通过社交工程自动连接到俄罗斯服务器,用于窃取 Facebook 凭据。 借助间谍软件,犯罪者获得了完全控制权并访问了受害者的 Facebook 帐户。 他们可以访问与帐户相关的所有内容,包括信用卡信息、对话、搜索等。 查看下图,了解他们在获得完全访问权限后可以访问的信息的完整列表。

单击此处了解有关他们完全可以访问和可以下载的信息的详情。好消息是,Google于3月22日从商店中删除了该应用。

 

他们如何欺骗Google和用户

 

他们将恶意软件作为在Google Play和第三方应用商店上分发的移动应用程序滑入应用商店。他们使该应用程序模仿著名的合法照片编辑应用程序的行为,以覆盖广大受众。通过这一策略,他们能够掩盖其非法活动,欺骗许多用户。因此,他们偷偷将一小块代码通过应用商店的保障措施,以执行他们的计划。

 

恶意软件收集的Facebook帐户凭据

 

用户安装并打开应用程序后,立即显示Facebook登录页面。用户被诱骗登录到他们的Facebook帐户,以便他们可以使用该应用程序。如果他们不登录Facebook帐户,就不能使用该应用程序。然而,在他们登录后,他们的信息(用户名和密码)立即传递给黑客。

 

 

财务欺诈

 

被盗Facebook凭据的使用方式多种多样,最常见的是发送网络钓鱼链接、传播假新闻和进行财务欺诈。在这种情况下,网络犯罪分子可以查阅受害者的信用卡信息,使他们很容易偷钱。

 

注册域连接

 

Craftsart Cartoon Photo Tools连接到在注册的域名,网络安全专家调查后发现该域名已经断断续续地使用了7年,并且与多个恶意移动应用程序相关联,这些应用程序曾在Google Play上提供,但后来被删除。网络犯罪分子不断重新打包移动应用程序,欺骗受害者在Google Play上保持存在。黑客经常会自动重新包装过程,每当他们的非法应用被检测到并从Google Play商店中移除时,他们都很容易使用新应用返回。

 

如何删除此恶意应用程序

 

好消息是,该应用程序是独一无二的; Google Play商店中没有其他同名应用程序。因此,从移动设备中识别和删除Craftsart Cartoon Photo Tools非常简单。

要从安卓设备中删除Craftsart Cartoon Photo Tools,请前往“设置” > “应用程序” > “应用程序管理” ,向下滚动至“Craftsart Cartoon Photo Tools” ,轻触“卡通照片工具” ,然后轻触“卸载”。

 

转到“设置”以检查手机的安全更新。设置>系统>系统更新。

安装良好的安卓防病毒应用程序,以确保不再发生这种情况。您还应该从Google Play下载您的应用程序,因为虽然它并不完全安全,但它比大多数仍然可以找到Craftsart Cartoon Photo Tools的不可识别和非法应用程序商店安全得多。

前往Google Play商店开启Google Play Protect。Google Play商店>配置文件>播放保护>设置>使用播放保护打开扫描应用程序。

转到“设置”以检查手机的安全更新。设置>系统>系统更新。

每当您怀疑自己下载了受损的应用程序并删除它时,您应该采取的一个很好的预防措施是更改您的社交媒体的密码(在这种情况下是Facebook )。此外,退出您的帐户可能已登录的所有设备,以便您可以自动永久屏蔽犯罪分子。

不要忘记在您的设备上进行安全检查。在手机上打开网络浏览器并进行Google安全检查。按照步骤为您的设备提供更强大的安全设置。

接下来,在下载应用程序之前,请务必始终阅读用户的评论。一些用户给了这个应用程序一星评价,并警告其他用户这是一个可怕的产品和骗局。以下是屏幕截图。

正如网络安全专家所揭示的那样,我们希望在本文中讨论的网络罪犯使用的另一种策略是称为Tapjacking的安卓攻击。

 

Tapjacking

 

正如这个名字所暗示的,Tapjacking是“tap”和“jacking”的组合。这意味着有人接管了用户在手机和平板电脑上点击的内容。它是已知的最恶毒的安卓黑客之一,因为它不依赖于特殊权限、外部工具或库。

谦卑的通知消息将出现在您的屏幕上,作为一个漂亮的,没有被注意到的短暂的事情,当您注意到它时,它将消失。其典型应用是向用户提供非关键通知。用户通常不知道发生了什么,并且不与之交互(因为不可能) ,并且无法使吐司消息无限期地停留。它出现了,然后一瞬间消失了。

 

还有另一个技巧是与Tapjacking结合使用,称为屏幕叠加层。

 

屏幕叠加

 

屏幕叠加层通常是出现在其他应用程序顶部的应用程序的组件,例如Facebook Messenger中的聊天头。如果一个应用程序正在屏蔽屏幕上的另一个应用程序的一部分,您可能会收到屏幕叠加错误,您可以轻松将其禁用。例如,当您首次启动应用程序时,系统可能会提示您确认授予其对手机文件夹的访问权限。屏幕叠加层是此时出现的对话框,会导致屏幕其余部分变灰,同时您仍然可以看到下面的内容。屏幕叠加无疑是一个有用的功能。事实上,他们对Facebook Messenger使用的浮动聊天气泡负责。

具有讽刺意味的是,网络犯罪分子利用此功能欺骗了很多移动设备用户。

 

Tapjacking是由屏幕叠加层造成的

 

整个概念最重要的方面是,在授予应用关键权限的过程中,屏幕叠加不应处于活动状态。我们说"不应"是因为这一安全概念的实际执行存在严重缺陷。启用后,如果覆盖处于活动状态,此安全功能将阻止您与底层UI交互。

 

为什么会这样?这是因为活动屏幕叠加层可以检测并拦截传递给潜在活动的任何信息,例如密码、信用卡信息和其他敏感信息这太可怕了。

 

攻击者如何创建狡猾的叠加层

 

这就是烤面包重新发挥作用的地方,当谈到烤面包时,大多数开发人员都会设想一个小小的、短暂的弹出窗口。然而,吐司可以变大以包括诸如图像的内容。它能活多久?熟练的黑客可以通过使用内置的安卓定时器来创造永久性的幻觉。计时器到期后,屏幕上会重新绘制烤面包,这是一项完美而巧妙的工作。因此,吐司可用于各种目的,从收听到点击,到向用户显示虚假密码输入。

现在,Tapjacking应该是显而易见的,因为它不是侵扰性的,所以几乎不可能停止。

 

如何防止安卓 Tapjacking

 

如果您仔细观察,很容易避免 Tapjacking。只要您的安卓不允许活动在覆盖处于活动状态时收集输入,应用程序就没事。很遗憾,在安卓4.0.3及更早版本中,默认情况下禁用了此安全设置,使这些版本成为安卓历史上最臭名昭著的版本。最终填补了空白,每个人都对安卓6的安全模型感到满意。然而,出于未知原因, Google开发人员决定在版本6.0.1中再次禁用此设置,导致用户数据受损的几种情况。原因之一似乎是谷歌认为用户更喜欢方便而不是经常设置权限的烦恼,但疏忽的代价太高了。

安卓12允许开发人员关闭TYPE_APPLICATION_OVERLAY类型的窗口以提高安全性。宣布HIDE_OVERLAY_WINDOWS权限后,打开敏感屏幕时,将使用以下代码段关闭叠加窗口:

 

您应该怎么做?

 

用户只需导航到其设置中处理叠加屏幕的部分即可。它应该被称为“可以显示在顶部的应用程序”或“可以吸引其他应用程序的应用程序”。如果您仍然不确定, Google会快速搜索您的手机品牌和型号,以显示正确的设置。开发人员应同情用户的困境,并将以下项目列入预发布清单:确保设置为filterTouchesWhenObscured设置为true ,或在应用程序中实现FilterTouchEventForSecurity ()上的方法。

 

结论

 

如果用户在从Play Store或Apple Store下载应用程序之前花时间阅读评论,则可以轻松避免黑客。如果不首先检查评论,然后再次仔细检查,请不要太急于下载任何应用程序。预防胜于治愈。

此外,如果您不是具有丰富经验的安全开发人员,请避免下载新应用程序。允许许多用户首先留下您可以阅读的评论,以便做出明智的决定。请注意,有些网络犯罪分子使用虚假评论欺骗用户,只有当您足够耐心地仔细阅读评论时,您才能轻松发现这种伎俩。

我们想指出的是,理解和防止劫持不是火箭科学。Tapjacking的成功是基于Google和应用程序开发者的懒惰以及用户的意识不足。您可以很容易地避开这个漏洞,现在您已经意识到它。

你觉得怎么样