网络犯罪分子已经开始使用一种复杂的Android木马应用程序来攻击Facebook用户,该应用程序是为电子银行欺诈设计的,可能是为了绕过社交网络上的双因素认证保护。
防病毒供应商ESET的安全研究人员发现了一种名为Qadars的电脑银行木马的新变种,当从受感染的系统在浏览器中打开Facebook页面时,它会向页面中注入恶意的JavaScript代码。注入的代码会生成一条信息,指示用户下载并安装Android恶意软件,该软件可以窃取通过短信发送到他们手机的认证代码。
这些浏览器中的人攻击被称为webinjects,长期以来被计算机木马使用,在网上银行网站上显示恶意的Web表单,目的是收集用户的登录凭据和其他敏感财务信息。
Webinjects还常用来显示信息,通过显示金融机构所需的安全应用程序,指示用户在手机上下载和安装恶意应用程序。实际上,这些流氓手机应用程序旨在窃取银行通过短信发送的移动交易授权号码(mTANs)和其他一次性密码。
今年2月,EMC的安全部门RSA的安全研究人员报告称,一个高级Android木马的源代码被称为网上银行发布了一个地下论坛并警告说,这种发展将使更多的网络犯罪分子纳入其未来经营这个手机的威胁。
一旦安装在Android手机上,iBanking就可以捕捉进出的短信;可以重定向呼叫到预先定义的电话号码;可以利用设备的麦克风捕捉周围环境的音频,并可以窃取通话历史记录和电话簿。
根据ESET研究人员的一份新报告,Qadars电脑木马的作者很快就采用了iBanking,但他们并没有使用它来对付网上银行用户,而是将目标对准了Facebook上的账户。
“通过我们对银行木马Win32/Qadars的监控[…我们已经见证了一种全新的webinject:它使用JavaScript,意在注入到Facebook的网页中,试图引诱用户安装Android应用程序博客文章。
当用户登录到Facebook的从感染Qadars计算机,他们将看到一个流氓消息通知他们,“由于为了获得非法访问我们的用户的个人信息,以防止损坏的页面数据传播的Facebook上升一些尝试政府引入了新的额外的安全保护系统“。
这种所谓的保护系统是一种移动应用程序,可以生成独特的认证代码,而不是常规密码。为了获得应用程序,用户被要求指定他们的移动电话的操作系统和他们的电话号码。然后,他们会被引导到一个带有下载链接和相应二维码的页面。
该应用程序被提供给Android设备拥有者是已被修改看作是一个Facebook应用程序,用于生成一次性密码的木马网上银行应用程序的一个版本。在安装过程中,用户被指示启用Android的设置,允许来源不明的应用程序的安装,并要求给应用设备管理员权限。
“安装在用户的移动网上银行的方式是很常见的,但我们已经看到了这样的移动应用程序针对Facebook用户的账号欺诈的第一次,”布廷说。
攻击者可能正在使用iBanking窃取Facebook的合法双因素认证系统通过短信发送的安全代码。布廷说,可能是越来越多的人在Facebook上使用这种保护功能,使得账户更难通过传统的凭证盗窃攻击而被攻破。
但是,它也有可能是攻击者已经选择在Facebook上使用webinjects因为它是分发恶意软件大量的用户,而无需担心其特定的银行网站,他们经常与互动的有效方式。
“现在主流的网络服务,如Facebook也由移动恶意软件的目标,这将是有趣的,看看其他类型的恶意软件是否将开始使用webinjects,”布廷说。“时间会告诉我们,但因为移动恶意软件和相关的源代码泄漏的商品化,这是一个明显的可能性。”