近日，研究人員在谷歌應(yīng)用商店上發(fā)現(xiàn)了偽裝成合法應(yīng)用的兩個(gè)惡意軟件來(lái)竊取用戶(hù)的登錄憑據(jù)，其中，Poloniex 加密貨幣交易所的用戶(hù)是這些偽應(yīng)用的頭號(hào)目標(biāo)。它們除了竊取Poloniex用戶(hù)的登錄憑據(jù)外，還通過(guò)欺騙手段以達(dá)到惡意訪問(wèn)受害者的Gmail帳戶(hù)的目的。

隨著加密貨幣的不斷升值，網(wǎng)絡(luò)犯罪分子正通過(guò)各種手段和渠道（侵入瀏覽器、含漏洞的計(jì)算機(jī)，釣魚(yú)網(wǎng)站和惡意軟件等）竊取用戶(hù)的登錄憑據(jù)。

Poloniex作為全球著名的加密貨幣交易所之一，具有超過(guò)100種的加密貨幣可提供購(gòu)買(mǎi)與被交易，正因?yàn)槿绱?，它也是成為犯罪分子攻擊的首選目標(biāo)的原因之一，同時(shí)，由于Poloniex沒(méi)有自己的官方移動(dòng)應(yīng)用程序，使得犯罪分子能夠輕易通過(guò)偽造其官方應(yīng)用來(lái)竊取用戶(hù)的登錄憑據(jù)。

2款惡意軟件的介紹

第一款?lèi)阂廛浖麨?ldquo;POLONIEX”，開(kāi)發(fā)人員為“Poloniex”，于 2017年 8月 28日潛入谷歌應(yīng)用商店，盡管它的評(píng)分較低評(píng)價(jià)也不大好，截止到2017年9月19日，它還是被下載安裝高達(dá)5000多次。

第二款?lèi)阂廛浖麨?ldquo;Poloniex exchange”，開(kāi)發(fā)人員為“Poloniex Company”，于2017年10月15日出現(xiàn)在谷歌應(yīng)用商店中，在ESET通知谷歌應(yīng)用商店下架它之前，顯示被用戶(hù)下載安裝了500多次。

　　攻擊者是如何操作的？

要通過(guò)惡意軟件來(lái)接管用戶(hù)的Poloniex帳戶(hù)，攻擊者首先在獲取用戶(hù)的登錄憑據(jù)后，訪問(wèn)與被攻擊用戶(hù)的Poloniex帳戶(hù)所關(guān)聯(lián)的電子郵件帳戶(hù)，并且刪除所有未授權(quán)的與登錄、交易相關(guān)的提醒郵件，最后，攻擊者對(duì)他們的應(yīng)用程序進(jìn)行“看起來(lái)很實(shí)用”的包裝，使得用戶(hù)在使用該惡意軟件時(shí)并不感到懷疑。

事實(shí)上，這兩款?lèi)阂廛浖褂玫氖窍嗤舴椒▉?lái)獲利。在用戶(hù)打開(kāi)惡意軟件后，軟件會(huì)顯示一個(gè)Poloniex登錄的假頁(yè)面。

當(dāng)用戶(hù)輸入了自己的帳號(hào)密碼并點(diǎn)擊“登錄”時(shí)，該帳號(hào)的所有信息將會(huì)發(fā)送給攻擊者。 如果用戶(hù)的Poloniex帳號(hào)剛好沒(méi)有啟用雙重身份驗(yàn)證（郵箱驗(yàn)證），那么攻擊者可以馬上登錄該帳戶(hù)并執(zhí)行各種操作，比如更改用戶(hù)設(shè)置，更改密碼使得原用戶(hù)登錄失敗等。 當(dāng)然，如果原用戶(hù)使用了雙重身份驗(yàn)證，那么賬戶(hù)就安全得多。 這是因?yàn)镻oloniex通過(guò)谷歌驗(yàn)證向用戶(hù)提供雙重的身份驗(yàn)證，且隨機(jī)生成登錄驗(yàn)證碼并通過(guò)短信、語(yǔ)音或谷歌驗(yàn)證軟件等方式發(fā)送給用戶(hù)，這些隨機(jī)驗(yàn)證碼攻擊者是收不到的。

另外，如果攻擊者成功地竊取到了用戶(hù)的登錄憑據(jù)，他們也會(huì)竊取用戶(hù)的Gmail帳號(hào)密碼； 假軟件會(huì)顯示一個(gè)假Google帳號(hào)登錄頁(yè)面，要求用戶(hù)使用Google帳戶(hù)登錄進(jìn)行雙重身份驗(yàn)證。

在用戶(hù)點(diǎn)擊登錄后，假軟件將請(qǐng)求允許查看該用戶(hù)的電子郵件消息和設(shè)置以及基本配置等文件信息。

如果用戶(hù)授予權(quán)限，假軟件將獲得對(duì)其收件箱的訪問(wèn)權(quán)，通過(guò)訪問(wèn)用戶(hù)的Poloniex帳戶(hù)以及關(guān)聯(lián)的Gmail帳戶(hù)，攻擊者可以使用受害者帳戶(hù)進(jìn)行交易，在其收件箱中刪除有關(guān)未經(jīng)授權(quán)登錄和交易的任何提醒郵件。

最后，為了避免引起用戶(hù)的懷疑，假軟件將用戶(hù)引導(dǎo)到Poloniex的官方網(wǎng)站，并且，該網(wǎng)站會(huì)要求用戶(hù)進(jìn)行登錄操作。

用戶(hù)登錄進(jìn)去之后，訪問(wèn)和使用的是Poloniex的官方網(wǎng)站，從那時(shí)起，惡意軟件每次啟動(dòng)后都將直接跳轉(zhuǎn)到Poloniex的官方網(wǎng)站。

如何保護(hù)自己的賬戶(hù)不受攻擊？

如果你是Poloniex用戶(hù)，并且你的手機(jī)已經(jīng)安裝了這兩款?lèi)阂廛浖?，首先?qǐng)立即進(jìn)行卸載，然后馬上更改你的Poloniex和Gmail賬戶(hù)的密碼，然后設(shè)置開(kāi)啟“啟用賬戶(hù)的雙重身份驗(yàn)證”。

并且，為了避免以后受到類(lèi)似的攻擊，你還可以這樣做：

盡量從官方提供的下載渠道下載軟件，確保軟件是官方開(kāi)發(fā)的、安全的

在應(yīng)用商店下載軟件時(shí)留意軟件的星級(jí)和評(píng)論

遠(yuǎn)離釣魚(yú)網(wǎng)站，仔細(xì)觀察和分辨是否會(huì)是釣魚(yú)網(wǎng)站

開(kāi)啟賬戶(hù)的雙重身份驗(yàn)證

安裝安全軟件，檢測(cè)所下載的軟件是否為惡意軟件

*參考來(lái)源： welivesecurity ，由J1anCan編譯，轉(zhuǎn)載請(qǐng)注明來(lái)自 FreeBuf.COM