Η ESET ανακάλυψε ένα malware, με το όνομα BlackRock, το οποίο εξαπατά τους χρήστες καθώς μιμείται τη δημοφιλή invite-only social media εφαρμογή Clubhouse.
Δείτε επίσης: Clubhouse: Παραβιάστηκαν συνομιλίες – Ανησυχίες για το απόρρητο
Σύμφωνα με την εταιρεία ασφαλείας, το trojan malware προσπαθεί να κλέψει τα στοιχεία σύνδεσης που χρησιμοποιούν οι χρήστες σε διάφορες διαδικτυακές υπηρεσίες. Το malware μιμείται την Android έκδοση της εφαρμογής Clubhouse (που δεν υπάρχει στην πραγματικότητα) και μπορεί να κλέψει credentials για περισσότερες από 450 εφαρμογές. Επίσης, οι ειδικοί λένε ότι μπορεί να παρακάμψει τον έλεγχο ταυτότητας δύο παραγόντων (2FA) που βασίζεται σε SMS.
Δείτε επίσης: Παραλλαγή του Masslogger Trojan κλέβει Outlook, Chrome credentials
Οι εγκληματίες έχουν δημιουργήσει ένα site που μοιάζει με το γνήσιο site του Clubhouse και προσπαθούν να εξαπατήσουν τους χρήστες ώστε να κατεβάσουν την ψεύτικη εφαρμογή. Μόλις οι χρήστες κατεβάσουν το κακόβουλο app, θα κατεβάσουν το BlackRock malware, το οποίο αρχίζει αμέσως να κλέβει στοιχεία σύνδεσης για 458 διαδικτυακές υπηρεσίες. Οι υπηρεσίες αυτές περιλαμβάνουν τα: Facebook, Twitter, WhatsApp, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA και Lloyds Bank.
Το BlackRock χρησιμοποιεί “overlay attack“, για να κλέψει τα credentials του θύματος όταν ανοίγει μια από τις στοχευμένες εφαρμογές. Όταν ο χρήστης πληκτρολογεί τα στοιχεία του, τα παραδίδει στους επιτιθέμενους, χωρίς να το γνωρίζει.
Το πιο ανησυχητικό είναι ότι το BlackRock malware μπορεί, επίσης, να παρακολουθεί μηνύματα κειμένου, πράγμα που σημαίνει ότι το 2FA που βασίζεται σε SMS, δεν προσφέρει κάποια προστασία στη συγκεκριμένη επίθεση. Επιπλέον, η κακόβουλη εφαρμογή ζητά από το θύμα να ενεργοποιήσει υπηρεσίες προσβασιμότητας, οι οποίες θα επιτρέψουν στους εγκληματίες να πάρουν τον έλεγχο της συσκευής.
Δείτε επίσης: Η ομάδα Rampant Kitten κλέβει κωδικούς 2FA μέσω ενός malware Android
Ο ερευνητής της ESET, Lukas Stefanko, δήλωσε: “Το website μοιάζει αληθινό. Για να είμαι ειλικρινής, είναι ένα καλά εκτελεσμένο αντίγραφο της νόμιμης ιστοσελίδας Clubhouse. Ωστόσο, όταν ο χρήστης κάνει κλικ στο “Λήψη στο Google Play”, η εφαρμογή κατεβαίνει αυτόματα στη συσκευή. Τα νόμιμα sites ανακατευθύνουν πάντα το χρήστη στο Google Play, και δεν κατεβάζουν απευθείας ένα Android Package Kit (APK)“.
Σχολιάζοντας την έρευνα, ο Tom Lysemose Hansen, CTO της εταιρείας Promon, είπε: “Ήταν θέμα χρόνου να εκμεταλλευτούν οι εγκληματίες την αυξανόμενη ζήτηση για μια Android έκδοση της εφαρμογής Clubhouse. Πρόκειται για μια κλασική περίπτωση κακόβουλου λογισμικού, που μόλις εγκατασταθεί στη συσκευή, κλέβει credentials από μια λίστα στοχευμένων εφαρμογών. Το πειστικό site και το γεγονός ότι το κακόβουλο λογισμικό μπορεί να κλέψει credentials σύνδεσης από περισσότερες από 450 εφαρμογές και να παρακάμψει τον έλεγχο ταυτότητας δύο παραγόντων, που βασίζεται σε SMS, το καθιστούν εξαιρετικά επικίνδυνο“.
Επίσης, είπε ότι οι χρήστες smartphone, και συγκεκριμένα οι χρήστες Android, πρέπει να αναζητήσουν στοιχεία που δείχνουν ότι το site δεν είναι νόμιμο. Για παράδειγμα, αν η διεύθυνση URL ξεκινά με HTTP αντί για HTTPS, τότε το site δεν είναι ασφαλές. Επίσης, πρέπει να γίνεται έλεγχος του domain (για παράδειγμα στη συγκεκριμένη περίπτωση ήταν .mobi αντί για .com που χρησιμοποιείται από τον νόμιμο ιστότοπο).
Πηγή: Infosecurity Magazine