开发者俱乐部

标题: 谁看了你的Instagram账户?又是谁盗取了你的密码? [打印本页]

作者: xman    时间: 2016-3-24 18:09
标题: 谁看了你的Instagram账户?又是谁盗取了你的密码?
移动应用程序目前已经成为最有效的攻击向量之一,这些网络罪犯最喜欢的一种方法便是流行应用程序的滥用。自己审视下是否在安装一款需求连接到社交应用账户凭证,电子邮件账户,云存储服务的应用时有静下来细细考虑?



       移动应用程序目前已经成为最有效的攻击向量之一,这些网络罪犯最喜欢的一种方法便是流行应用程序的滥用。自己审视下是否在安装一款需求连接到社交应用账户凭证,电子邮件账户,云存储服务的应用时有静下来细细考虑?

       近日,一款名为“InstaCare – Who cares with me”(谁看了你的Instagram账户)的恶意应用通过Google  Play应用商店,以及其他第三方应用商店流通。来自德国Peppersoft公司的David  Layer-Reiss发现了该威胁,如果想看看更详细的分析可以查看它的分析博文。


       该应用服务作为一个hook,引诱Instagram用户。假称能够让你得知谁看过的Instagram账户,但实际上它滥用连接Instagram的身份验证进程。


       事实上,对于大部分应用程序来说使用API或者授权协议是一种常态,比如使用OAuth  来验证第三方应用程序。对于用户来说,这样做非常的方便,可以在不同的应用和服务之间使用相同的凭证来进行身份验证。


       这里最大的问题是,针对这个特性,一些应用可以恶意获取用户的信息,例如他们的个人信息,联系人,再或者可以盗取他们的凭证。
这种方法非常成功。在这个特别的案例中,该应用的安卓版本就有超过10万台设备安装量,并且超过2万的评论信息。在这些评论信息中大部分都提示了需要进行支付才能够正常工作。

       就Google Play应用商店来说,我们还可以看到一些用户抱怨安装出现的一些问题。
       非常有趣的是,该应用是通过了苹果安全检测并发布!尽管它对控制更严谨,但是并没有提到该作者有过发布恶意软件历史的信息。

攻击向量
       该攻击将Javascript代码安置在Instagram登录页面的提交按钮中

       该代码获取输入字段名““username”以及“password”的内容,将其以“,-UPPA-, ”的格式存储在“str”局部变量中,之后调用processHTML函数(存储有收集到的数据)
       也会从用户设备中收集其他信息,然后通过POST请求发回到C&C服务器
       “hash”参数的值为上图中的数据加上Instagram用户名及密码,这个值使用AES  128进行加密后使用base64进行编码,加密密钥是由服务器生成。
       在 iOS版本同样使用AES 128,但分组模块使用CBC替代ECB
       因此,它使用字符串“IOS123SECRETKEYS”作为初始矢量。
       打开后,它会迫使用户登录 Instagram
       用户名和密码发送到服务器之后,还会发送一些元数据
       因为我们已经获得ID,可以使用David修改后Java代码解密其中内容。我们仅需要修改初始化加密类。
       通过输入“hash”参数的内容,我们可以解密数据,发送并找到已经发送到服务器上的信息。正如我们料想的一样,  Instagram用户名和密码同样包含在这个列表中。
       这些用户名和密码稍后将用于向用户的Instagram账户发送垃圾消息。
       本文提到的威胁是由Kaspersky实验室检查发现的HEUR:Trojan-Spy.AndroidOS.Instealy.a 以及  HEUR:Trojan-Spy.IphoneOS.Instealy.a.


结论
       移动环境已经成为了网络罪犯们最喜好的目标之一,社交网络的出现在方便朋友间乐趣的同时,无疑也方便了恶意软件的分发,在安装应用之前最好是多多思考下。一般官方网站都不提供的服务,你一个第三方平台是通过何种方法去实现的呢?





作者: balala    时间: 2016-3-27 00:57
想起了360的免杀认证服务,交钱就不报毒





欢迎光临 开发者俱乐部 (http://xodn.com/) Powered by Discuz! X3.2