04/09/2017

Szkodliwy program w aplikacji Facebook Messenger

Zagrożenia

Jakiś czas temu ekspert z naszego Globalnego Zespołu ds. Badań i Analiz, David Jacoby, odkrył wieloplatformowy szkodliwy program, który był rozprzestrzeniany przy użyciu aplikacji Facebook Messenger. Kilka lat temu podobne informacje pojawiały się stosunkowo często, lecz ostatnio temat ten nieco ucichł. A to prawdopodobnie dlatego, że serwis Facebook włożył wiele pracy w mechanizmy zabezpieczające przed takimi atakami.

Najpierw pojawił się raport wstępny. Wtedy Jacoby nie miał wystarczająco dużo czasu, aby poznać szczegóły na temat działania szkodliwego programu, jednak teraz jesteśmy już gotowi podzielić się nimi. Z perspektywy użytkownika infekcja postępowała w następujący sposób.

  • Użytkownik otrzymywał wiadomość od znajomego poprzez komunikator Facebook Messenger. Wiadomość zawierała słowo „Video”, imię nadawcy, losowy emotikon i krótki link. Wyglądało to na przykład tak: 
  • Łącze kierowało do Dysku Google, gdzie użytkownikowi wyświetlane było coś na kształt odtwarzacza wideo ze zdjęciem oryginalnego nadawcy w tle oraz przyciskiem odtwarzania.
  • Gdy ofiara próbowała odtworzyć „film” w przeglądarce Google Chrome, była kierowana na stronę, która wyglądała jak strona serwisu YouTube, i otrzymywała propozycję instalacji rozszerzenia do przeglądarki Chrome.
  • Jeśli użytkownik zgodził się na instalację, rozszerzenie zaczynało wysyłać szkodliwe łącza do jego znajomych — a przy każdym odbiorcy cały proceder był ponawiany.
  • Użytkownicy innych przeglądarek nie otrzymywali propozycji instalacji rozszerzenia, lecz na ekranie wyświetlane były przypomnienia o aktualizacji Adobe Flash Player. Pobrany przez nich plik okazywał się być adware — jak wiadomo, oszuści zarabiają również poprzez wyświetlanie reklam.

Jacoby, wraz z Fransem Rosenem, badaczem, z którym pracował nad projektem o nazwie „Hunting bugs for humanity” przeanalizował tę szkodliwą kampanię i sprawdził, jak ona działała.

Strona, na którą kierowani byli użytkownicy po kliknięciu łącza w aplikacji Facebook Messenger, była w postaci pliku PDF opublikowanego w Dysku Google. Otwierała się w trybie podglądu. W pliku widniało zdjęcie danego użytkownika pobrane z jego profilu na Facebooku, na zdjęciu znajdowała się ikona do odtwarzania filmu, a także link, która ofiara otwierała, próbując kliknąć przycisk odtwarzania.

Strona, na którą trafiali znajomi ofiary po kliknięciu łącza

Łącze kilkukrotnie przekierowywało użytkownika: ofiary używające przeglądarek innych niż Google Chrome trafiały ostatecznie na stronę oferującą pobranie programu typu adware ukrytego pod postacią aktualizacji do programu Adobe Flash Player.

Przeglądarki inne niż Google Chrome oferowały pobranie adware pod postacią programu Adobe Flash Player

W przypadku przeglądarki Chrome był to dopiero początek: jeśli ofiara zgodziła się zainstalować rozszerzenie oferowane na stronie docelowej, zaczynało ono monitorować otwierane przez użytkownika strony. Gdy ofiara otwierała Facebooka, rozszerzenie kradło dane logowania i token dostępu, które następnie było wysyłane na serwer atakującego.

Fałszywa strona serwisu YouTube oferująca instalację rozszerzeń do przeglądarki Google Chrome

Oszuści odkryli w serwisie Facebook ciekawy błąd w postaci niezabezpieczonego języka Facebook Query Language (FQL), który został wyłączony rok temu, lecz nie został całkowicie wyczyszczony — został on zablokowany dla aplikacji, jednak z kilkoma wyjątkami. Używa go na przykład aplikacja dla systemu iOS — Facebook Pages Manager. Dlatego aby uzyskać dostęp do „zablokowanej” funkcji, szkodliwy program musi działać w imieniu aplikacji.

Używając skradzionych danych logowania i uzyskując dostęp do przestarzałej funkcji serwisu Facebook, oszuści mogli żądać wysłania przez sieć społecznościową listy kontaktów ofiary, pomijając te, które nie były w danym momencie online, i losowo wybierała 50 nowych ofiar. Użytkownicy ci masowo otrzymywali wiadomości z nowym łączem do Dysku Google z wygenerowanym podglądem pliku PDF ze zdjęciem osoby, w której imieniu rozpoczynano nową falę wiadomości. W ten sposób powstawało coś na kształt błędnego koła.

Warto wspomnieć, że szkodliwy skrypt między innymi klikał „polubienie” konkretnej strony na Facebooku, najwidoczniej w celu gromadzenia statystyk odnośnie infekcji. Jacoby i Rosen zaobserwowali, że w trakcie ataku zmieniono kilka określonych stron, prawdopodobnie dlatego, że serwis Facebook zamknął wcześniejsze. Sądząc po liczbie „lajków”, ofiar były dziesiątki tysięcy.

Jedna ze stron infekujących „polubione” przez użytkowników

Analiza kodu wykazała, że oszuści początkowo planowali użyć wiadomości napisanych w lokalnym języku, ale zmienili zdanie i zdecydowali się na krótki i zrozumiały dla wielu narodów wyraz „Video”. Kod funkcji lokalizacji ujawnił, że początkowo oszuści byli zainteresowani użytkownikami serwisu Facebook w kilku europejskich krajach, takich jak Turcja, Włochy, Niemcy, Portugalia, Francja (także francuskojęzycznymi mieszkańcami Kanady), Polska, Grecja, Szwecja i wszystkie kraje anglojęzyczne.

Dzięki wspólnemu wysiłkowi kilku krajów udało się zatrzymać rozprzestrzenianie infekcji. Niemniej jednak historia ta jest doskonałą okazją, aby przypomnieć, że rozszerzenia przeglądarek nie są tak obojętne, jakby się mogło wydawać. Aby nie złapać infekcji i nie paść ofiarą podobnych szkodliwych kampanii, należy unikać instalowania rozszerzeń przeglądarki, jeśli nie ma się absolutnej pewności, że są bezpieczne, nie ukradną danych oraz że nie będą śledzić aktywności online.

Ponadto nie warto klikać każdego łącza, nawet jeśli zostało ono teoretycznie wysłane przez kogoś znajomego. Zawsze lepiej upewnić się, że naprawdę pochodzi on od naszego znajomego, a nie od oszusta, który przejął kontrolę nad czyimś kontem.