影响100万个脸书用户的中毒APP是如何对抗安全检测的？

      在 10 月 7 日的一篇博文中，Facebook 的母公司 Meta 表示，其研究人员在过去一年中检测到 400 款恶意 Android 和 iOS 应用程序，这些应用程序旨在窃取 Facebook 用户的用户名和口令并企图操控他们的账户。中毒的应用程序被上传到谷歌和苹果的应用程序商店，并伪装成合法游戏、VPN 服务、照片应用程序和其他实用程序。一些例子包括：

• 照片编辑器，包括那些声称允许您 “将自己变成卡通” 的编辑器
  
• 声称可以提高浏览速度或授予对被阻止内容或网站的访问权限的 VPN  
  
• 手机实用程序，例如声称可以照亮手机手电筒的手电筒应用程序
  
• 手机游戏虚假承诺高量 3D 图形
  
• 健康和生活方式应用程序，例如星座运势和健身追踪器
  
• 声称提供技术平台在官方应用程序中未发现的隐藏或未经授权的功能的商业或广告管理应用程序。
  
• 当用户下载并安装使用其中某款恶意应用程序时，它会提示他们输入用户的 Facebook 用户名和口令。Meta 说，如果用户输入他们的凭据，攻击者将获得对个人账户、私人信息和社交媒体平台上朋友的完全访问权限。
  

“这是一个高度对抗的空间，虽然我们的行业同行致力于检测和删除恶意软件，但其中一些应用程序会逃避检测并进入合法的应用程序商店，”Meta 威胁分析主管 David Agranovich 和恶意软件发现和检测工程师 Ryan Victory，在博客文章中写道。
Meta 向苹果和谷歌报告了这些应用程序，研究人员指出，“我们还提醒那些可能通过下载这些中毒应用程序并共享其凭据而在不知不觉中自我损害其账户的人，注意观察他们自己的账户。”

成功冒充合法应用
Meta 在 Apple 和 Google 的移动商店中检测到的许多 iOS 和 Android 应用程序都声称具有一些有趣或有用的功能，例如音乐播放器和卡通图像编辑器。多个 (42%) 冒充照片编辑器，其中一些声称他们可以将用户的照片变成卡通片。 
大约 15% 据称是商业实用程序，例如声称可以帮助用户访问被阻止的内容和网站或提高互联网浏览速度的 VPN；14% 是手机实用程序，例如据称有助于照亮的手电筒应用程序。 
在 Meta 的研究人员发现的大约 400 个恶意应用程序中，手机游戏约占 11%。Meta 表示，虚假评论可能有助于提升其中一些应用程序的声誉，并有助于隐藏对这些应用程序的潜在负面评论。
Facebook 没有透露这 400 个应用程序中有多少是基于 Android 的。但苹果表示，在 Meta 博客文章中提到的 400 个应用程序中，有 45 适用于 iOS 系统，剩下 355 个适用于 Android 系统。 
谷歌发言人表示，Meta 报告中确定的所有应用程序都不再在 Google Play 上可用。“用户还受到 Google Play Protect 的保护，它会在 Android 上阻止这些应用程序，” 他说。
Apple 还确认这些应用程序已从 App Store 中删除。

一个永恒的主题
恶意应用程序进入谷歌和苹果官方移动商店的问题绝非新鲜事。两家公司多年来一直在处理这个问题，并实施了许多机制来审查发布到其商店的第三方应用程序。 
但是，恶意软件作者始终能够以最新的方式潜入他们的应用程序商店。攻击者通常用来绕过 Google 和 Apple 测试流程的一种策略是将软件的恶意功能与良性功能分开，并在测试完成后使用 dropper 安装恶意代码。
多年来，许多安全供应商报告称在两家商店都发现了伪装成合法软件的恶意应用程序。最近的例子之一是 BitDefende 在 Google Play 上发现了 35 个恶意应用程序，这些应用程序的总下载量约为 200 万次。安全供应商发现一些旨在投放广告的应用程序在安装后重新命名，以增加检测和删除的难度。 
7 月，Dr. Web 报告在 Google Play 上发现并向 Google 报告了近 30 个广告软件木马，总下载量超过 980 万。
虽然攻击者更倾向于以 Play 为目标，但 Apple App Store 上也有许多类似的实例。9 月，Human Security 的 Satori 研究团队报告了一项大规模的广告服务操作，其中涉及 Google Play 上的数十个恶意应用程序和 Apple App Store 上的至少九个恶意应用程序。至少自 2019 年以来，这些应用程序的总下载量约为 1300 万次。

如何保持移动 APP 安全
有许多提供上述功能的合法应用程序，或者可能会要求您以安全可靠的方式登录 Facebook。网络犯罪分子知道这些类型的应用程序有多受欢迎，并使用这些主题来欺骗人们并窃取他们的帐户和信息。
恶意软件应用程序通常具有将它们与合法应用程序区分开来的迹象。在使用 Facebook 帐户登录移动应用程序之前，需要考虑以下几点：以下是研究人员发现在用户使用社交媒体帐户登录之前无法提供任何功能的恶意软件应用程序示例。
一是特别小心需要社交媒体凭据才能使用的 APP；        如果您不提供 Facebook 信息，该应用程序是否无法使用？例如，对需要您的 Facebook 登录名和口令才能使用它的照片编辑应用程序持怀疑态度。
二是查看 APP 的声誉：应用程序是否有信誉？查看其下载次数、评分和评论，包括负面评论。
三是关注 APP 承诺的功能：该应用程序是否提供了它所说的功能，无论是在登录之前还是之后？
如果用户怀疑下载了恶意应用程序并使用自己的社交媒体或其他在线凭据登录，研究人员建议用户立即从设备中删除该应用程序并按照以下说明保护帐户的安全：
一是重置并创建新的强口令；切勿在多个网站上重复使用您的口令。
二是启用双因素身份验证；最好使用 Authenticator 应用程序，为您的帐户添加额外的安全层。
三是开启登录警报揭示功能，以便在有人试图访问您的帐户时收到通知。请务必查看之前的登录会话，以确保您识别哪些设备可以访问您的帐户。
研究人员还鼓励用户通过他们的数据滥用赏金计划向其报告危害元帐户的恶意应用程序。相关的威胁指标也以 CSV、TSV 和 JSON 格式提供，网址为 https://github.com/facebook/malware-detection。

参考资源
        1、https://www.darkreading.com/remote-workforce/meta-flags-malicious-android-ios-apps-affecting-1m-facebook-users
        2、https://about.fb.com/news/2022/10/protecting-people-from-malicious-account-compromise-apps/