APP下载

假Clubhouse App骗取Android用户400多种服务帐密

消息来源:baojiabao.com 作者: 发布时间:2026-02-20

报价宝综合消息假Clubhouse App骗取Android用户400多种服务帐密

冒充语音社交平台Clubhouse的BlackRock木马程式二大破绽:Android版(Clubhouse官方目前只提供iOS版),网址是HTTP开头,而非HTTPS。(图片来源/ESET)

安全厂商ESET研究人员发现一只木马程式化身当红语音社交平台Clubhouse的Android版App,以骗取用户458种App及网站帐密,还能绕过简讯2FA验证。

ESET ThreatFabric中心研究人员侦测到一只Android/TrojanDropper.Agent.HLR,这个名为BlackRock的木马程式冒充Android版Clubhouse,吸引不知Clubhouse仅有iOS版,且仅开放邀请加入的用户上钩。这个网站可能经由社群网站或论坛散布连结,将用户导向一个极神似Clubhouse的网站,要求用户点击“Get it on Google Play”按键下载。

研究人员指出,仔细一看,这个假网站有许多可疑处,包括使用.mobi的顶级网域名,而非.com。此外它的网址是HTTP开头,而非合法网站会用的HTTPS。若用户不察点击按键,就会自动下载APK。事实上,正牌的Android App只会将用户导向Google网页,而不会自动下载到用户手机上。

研究人员Lucas Stefano指出一旦进入受害装置内,BlackRock就会开始收集多种网站或App的账号。正确说来,它的目标包括高达458种App,包括Twitter、 WhatsApp、Facebook、Amazon、Netflix、Outlook、eBay、Coinbase,及西班牙BBVA银行和英国的莱斯银行(Lloyds Bank)及其他线上金融服务。

BlackRock窃密手法包括使用覆盖攻击(overlay attack)并要求用户登入,这是一种窃密用的恶意覆盖程式码,可加在登入页面上,在用户启动目标App、输入账密后即取得用户的重要资讯。

此外,BlackRock还会拦截文字简讯,使原本可防止钓鱼攻击的简讯双因素验证失效。BlackRock还会要求使用者启动辅助(accessibility)功能,透过获得存取通讯录或相机的权限,进而控制装置。

研究人员呼吁使用者应只到官网下载App,并留意自己同意了什么存取权给App。而下载任何App前也应看一下用户评价。此外使用者应随时让装置软件保持在更新状态、使用手机安全软件。最好使用App或硬件式的一次性密码(OTP),不要用简讯传送2FA验证码。

2021-03-23 14:49:00

相关文章