假Clubhouse App骗取Android用户400多种服务帐密

安全厂商ESET研究人员发现一只木马程式化身当红语音社交平台Clubhouse的Android版App，以骗取用户458种App及网站帐密，还能绕过简讯2FA验证。

ESET ThreatFabric中心研究人员侦测到一只Android/TrojanDropper.Agent.HLR，这个名为BlackRock的木马程式冒充Android版Clubhouse，吸引不知Clubhouse仅有iOS版，且仅开放邀请加入的用户上钩。这个网站可能经由社群网站或论坛散布连结，将用户导向一个极神似Clubhouse的网站，要求用户点击“Get it on Google Play”按键下载。

研究人员指出，仔细一看，这个假网站有许多可疑处，包括使用.mobi的顶级网域名，而非.com。此外它的网址是HTTP开头，而非合法网站会用的HTTPS。若用户不察点击按键，就会自动下载APK。事实上，正牌的Android App只会将用户导向Google网页，而不会自动下载到用户手机上。

研究人员Lucas Stefano指出一旦进入受害装置内，BlackRock就会开始收集多种网站或App的账号。正确说来，它的目标包括高达458种App，包括Twitter、 WhatsApp、Facebook、Amazon、Netflix、Outlook、eBay、Coinbase，及西班牙BBVA银行和英国的莱斯银行（Lloyds Bank）及其他线上金融服务。

BlackRock窃密手法包括使用覆盖攻击（overlay attack）并要求用户登入，这是一种窃密用的恶意覆盖程式码，可加在登入页面上，在用户启动目标App、输入账密后即取得用户的重要资讯。

此外，BlackRock还会拦截文字简讯，使原本可防止钓鱼攻击的简讯双因素验证失效。BlackRock还会要求使用者启动辅助（accessibility）功能，透过获得存取通讯录或相机的权限，进而控制装置。

研究人员呼吁使用者应只到官网下载App，并留意自己同意了什么存取权给App。而下载任何App前也应看一下用户评价。此外使用者应随时让装置软件保持在更新状态、使用手机安全软件。最好使用App或硬件式的一次性密码（OTP），不要用简讯传送2FA验证码。