誰看了你的Instagram賬戶?又是誰盜取了你的密碼?
移動應用程序目前已經成為最有效的攻擊向量之一,這些網絡罪犯最喜歡的一種方法便是流行應用程序的濫用。自己審視下是否在安裝一款需求連接到社交應用賬戶憑證,電子郵件賬戶,云存儲服務的應用時有靜下來細細考慮?
近日,一款名為“InstaCare – Who cares with me”(誰看了你的Instagram賬戶)的惡意應用通過Google Play應用商店,以及其他第三方應用商店流通。來自德國Peppersoft公司的David Layer-Reiss發現了該威脅,如果想看看更詳細的分析可以查看它的分析博文。
該應用服務作為一個hook,引誘Instagram用戶。假稱能夠讓你得知誰看過的Instagram賬戶,但實際上它濫用連接Instagram的身份驗證進程。
事實上,對于大部分應用程序來說使用API或者授權協議是一種常態,比如使用OAuth 來驗證第三方應用程序。對于用戶來說,這樣做非常的方便,可以在不同的應用和服務之間使用相同的憑證來進行身份驗證。
這里最大的問題是,針對這個特性,一些應用可以惡意獲取用戶的信息,例如他們的個人信息,聯系人,再或者可以盜取他們的憑證。
這種方法非常成功。在這個特別的案例中,該應用的安卓版本就有超過10萬臺設備安裝量,并且超過2萬的評論信息。在這些評論信息中大部分都提示了需要進行支付才能夠正常工作。
就Google Play應用商店來說,我們還可以看到一些用戶抱怨安裝出現的一些問題。
非常有趣的是,該應用是通過了蘋果安全檢測并發布!盡管它對控制更嚴謹,但是并沒有提到該作者有過發布惡意軟件歷史的信息。
攻擊向量
該攻擊將Javascript代碼安置在Instagram登錄頁面的提交按鈕中
該代碼獲取輸入字段名““username”以及“password”的內容,將其以“
也會從用戶設備中收集其他信息,然后通過POST請求發回到C&C服務器
“hash”參數的值為上圖中的數據加上Instagram用戶名及密碼,這個值使用AES 128進行加密后使用base64進行編碼,加密密鑰是由服務器生成。
在 iOS版本同樣使用AES 128,但分組模塊使用CBC替代ECB
因此,它使用字符串“IOS123SECRETKEYS”作為初始矢量。
打開后,它會迫使用戶登錄 Instagram
用戶名和密碼發送到服務器之后,還會發送一些元數據
因為我們已經獲得ID,可以使用David修改后Java代碼解密其中內容。我們僅需要修改初始化加密類。
通過輸入“hash”參數的內容,我們可以解密數據,發送并找到已經發送到服務器上的信息。正如我們料想的一樣, Instagram用戶名和密碼同樣包含在這個列表中。
這些用戶名和密碼稍后將用于向用戶的Instagram賬戶發送垃圾消息。
本文提到的威脅是由Kaspersky實驗室檢查發現的HEUR:Trojan-Spy.AndroidOS.Instealy.a 以及 HEUR:Trojan-Spy.IphoneOS.Instealy.a.
結論
移動環境已經成為了網絡罪犯們最喜好的目標之一,社交網絡的出現在方便朋友間樂趣的同時,無疑也方便了惡意軟件的分發,在安裝應用之前最好是多多思考下。一般官方網站都不提供的服務,你一個第三方平臺是通過何種方法去實現的呢?
