当心新安卓恶意软件入侵了数千个Facebook账户

自2021年3月以来，一个新的Android木马已经在144个国家中超过10000个用户通过脸谱网Play Store和其他第三方应用市场销售的欺诈性应用程序损害了脸谱网账户。

被称为“捕蝇器“据Zimperium的zLabs今天发布并与《黑客新闻》分享的一份报告称，之前未记录的恶意软件被认为是一系列特洛伊木马的一部分，这些木马使用社会工程技巧入侵Facebook帐户，这是在越南境外活动的恶意参与者策划的会话劫持活动的一部分。

Zimperium恶意软件研究人员Aazim Yaswart说，尽管这九个违规应用程序已经从Google Play中撤出，但它们仍然可以在第三方应用商店中使用，“突显了应用程序对移动终端和用户数据进行侧载的风险。”。应用程序列表如下-

• GG代金券（com.luxcarad.cardd）
• 投票支持欧洲足球（com.gardenguides.plantingfree）
• GG优惠券广告（com.free_-Coupon.GG_-free_-Coupon）
• GG代金券广告（com.m_application.app_moi_6）
• GG代金券（com.free.Voucher）
• Chatfuel（com.ynsuper.Chatfuel）
• net coupon（com.free coupon.net coupon）
• net coupon（com.movie.net coupon）
• 欧元2021官员（欧洲2021）

恶意软件声称提供Netflix和谷歌AdWords优惠券代码，并让用户投票给他们最喜爱的球队和球员在欧洲联盟2020欧元，这是发生在6月11日和2021年7月11日之间，只有在他们登录他们的脸谱网帐户投他们的选票，或收集优惠券代码或信用的条件下。

一旦用户登录该账户，恶意软件就会窃取受害者的Facebook ID、位置、电子邮件地址、IP地址，以及与Facebook账户相关的cookie和令牌，从而使威胁行为人能够利用受害者的地理位置信息开展虚假信息活动，或通过发送包含特洛伊木马链接的个人消息，通过社会工程技术进一步传播恶意软件。

Yaswart解释说，这是通过一种称为JavaScript注入的技术实现的，在这种技术中，“应用程序在一个WebView中打开合法的URL，该WebView配置了注入JavaScript代码的能力，并通过注入恶意[JavaScript]代码来提取所有必要的信息，如cookie、用户帐户详细信息、位置和IP地址。”。

虽然过滤后的数据托管在指挥与控制（C2）基础设施上，但C2服务器中发现的安全漏洞可能会被利用，将被盗会话cookie的整个数据库暴露给互联网上的任何人，从而使受害者面临进一步的风险。

Yaswart说：“恶意威胁行为人利用了常见的用户误解，即无论使用何种应用程序登录，登录到正确的域始终是安全的。”。“目标域是流行的社交媒体平台，这项活动在收集来自144个国家的用户的社交媒体会话数据方面非常有效。这些账户可以用作僵尸网络，用于不同的目的：从提高页面/网站/产品的受欢迎度，到传播错误信息或政治宣传。”