0°

谁看了你的Instagram账户?又是谁盗取了你的密码?

移动应用程序目前已经成为最有效的攻击向量之一,这些网络罪犯最喜欢的一种方法便是流行应用程序的滥用。自己审视下是否在安装一款需求连接到社交应用账户凭证,电子邮件账户,云存储服务的应用时有静下来细细考虑?

移动应用程序目前已经成为最有效的攻击向量之一,这些网络罪犯最喜欢的一种方法便是流行应用程序的滥用。自己审视下是否在安装一款需求连接到社交应用账户凭证,电子邮件账户,云存储服务的应用时有静下来细细考虑?

近日,一款名为“InstaCare – Who cares with me”(谁看了你的Instagram账户)的恶意应用通过Google Play应用商店,以及其他第三方应用商店流通。来自德国Peppersoft公司的David Layer-Reiss发现了该威胁,如果想看看更详细的分析可以查看它的分析博文。

该应用服务作为一个hook,引诱Instagram用户。假称能够让你得知谁看过的Instagram账户,但实际上它滥用连接Instagram的身份验证进程。

事实上,对于大部分应用程序来说使用API或者授权协议是一种常态,比如使用OAuth 来验证第三方应用程序。对于用户来说,这样做非常的方便,可以在不同的应用和服务之间使用相同的凭证来进行身份验证。

这里最大的问题是,针对这个特性,一些应用可以恶意获取用户的信息,例如他们的个人信息,联系人,再或者可以盗取他们的凭证。

这种方法非常成功。在这个特别的案例中,该应用的安卓版本就有超过10万台设备安装量,并且超过2万的评论信息。在这些评论信息中大部分都提示了需要进行支付才能够正常工作。

谁看了你的Instagram账户?又是谁盗取了你的密码?

谁看了你的Instagram账户?又是谁盗取了你的密码?

就Google Play应用商店来说,我们还可以看到一些用户抱怨安装出现的一些问题。

谁看了你的Instagram账户?又是谁盗取了你的密码?

非常有趣的是,该应用是通过了苹果安全检测并发布!尽管它对控制更严谨,但是并没有提到该作者有过发布恶意软件历史的信息。

攻击向量

该攻击将Javascript代码安置在Instagram登录页面的提交按钮中

谁看了你的Instagram账户?又是谁盗取了你的密码?

该代码获取输入字段名““username”以及“password”的内容,将其以“,-UPPA-, ”的格式存储在“str”局部变量中,之后调用processHTML函数(存储有收集到的数据)

谁看了你的Instagram账户?又是谁盗取了你的密码?

也会从用户设备中收集其他信息,然后通过POST请求发回到C&C服务器

谁看了你的Instagram账户?又是谁盗取了你的密码? 

“hash”参数的值为上图中的数据加上Instagram用户名及密码,这个值使用AES 128进行加密后使用base64进行编码,加密密钥是由服务器生成。

谁看了你的Instagram账户?又是谁盗取了你的密码?

在 iOS版本同样使用AES 128,但分组模块使用CBC替代ECB

因此,它使用字符串“IOS123SECRETKEYS”作为初始矢量。

打开后,它会迫使用户登录 Instagram

谁看了你的Instagram账户?又是谁盗取了你的密码?

用户名和密码发送到服务器之后,还会发送一些元数据

谁看了你的Instagram账户?又是谁盗取了你的密码?

因为我们已经获得ID,可以使用David修改后Java代码解密其中内容。我们仅需要修改初始化加密类。

通过输入“hash”参数的内容,我们可以解密数据,发送并找到已经发送到服务器上的信息。正如我们料想的一样, Instagram用户名和密码同样包含在这个列表中。

谁看了你的Instagram账户?又是谁盗取了你的密码? 

这些用户名和密码稍后将用于向用户的Instagram账户发送垃圾消息。

本文提到的威胁是由Kaspersky实验室检查发现的HEUR:Trojan-Spy.AndroidOS.Instealy.a 以及 HEUR:Trojan-Spy.IphoneOS.Instealy.a.

结论

移动环境已经成为了网络罪犯们最喜好的目标之一,社交网络的出现在方便朋友间乐趣的同时,无疑也方便了恶意软件的分发,在安装应用之前最好是多多思考下。一般官方网站都不提供的服务,你一个第三方平台是通过何种方法去实现的呢?

转载请注明:安全专题

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!