Android惡意軟體偷取Uber憑證

近期，一種新的Android惡意軟體變種Android.Fakeapp被研究人員所披露。據了解該Android惡意軟體主要目標是竊取Uber用戶的憑證信息，然後使用合法的Uber app的深層鏈接來隱瞞真相。

在分析最新的Android.Fakeapp惡意軟體變種時，一個樣本引起了我們的關注。該樣本使用了一種相當新穎和不同的技術手法，要求用戶輸入他們的信用卡詳細信息。要知道Android用戶數量在全球數以百萬計，這對於使用Uber的安卓手機用戶來說尤其值得關注！

此外經過我們進一步的分析發現，該Fakeapp變體有一個欺騙性的Uber app用戶界面（UI）,它會定期的在用戶的設備屏幕上彈出，直到用戶被誘騙輸入其Uber ID（通常是註冊的電話號碼）和密碼。

圖1為該惡意軟體彈出的假Uber app UI，用於欺騙用戶輸入其詳細信息。 一旦用戶根據提示輸入相關內容並點擊「下一步」按鈕（ – >），惡意軟體則會將用戶ID和密碼發送到其遠程伺服器上。

接著，為了避免引起用戶的注意，惡意軟體會跳轉回應用程序的合法界面並顯示用戶的當前位置，這麼做通常不會引起用戶的懷疑。

這也是該Fakeapp變體非常具有創造性的地方。為了顯示所述界面，惡意軟體使用合法app的深層鏈接發起app的Ride Request，將受害者的當前位置作為預載入點。

深層鏈接是將用戶直接帶到應用中特定內容的網址。Android中的深層鏈接是識別應用程序內部特定內容或功能的一種方式。

但對於應用程序來說，這像是一個web URL。例如，Uber app的Ride Request活動具有以下深層鏈接URI：

uber://?action=setPickup&pickup=my_location

圖3展示了惡意軟體的部分代碼片段，這個惡意軟體在將Uber憑證發送給其遠程伺服器之後，會使用Ride Request深層鏈接URI來觸發VIEW intent。

這個案例再次表明了惡意軟體作者，正不斷的創新和改進其欺騙和竊取技術，也為我們普通用戶的移動應用安全問題再次敲響了警鐘！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！