近日，研究人员在谷歌应用商店上发现了伪装成合法应用的两个恶意软件来窃取用户的登录凭据，其中，Poloniex 加密货币交易所的用户是这些伪应用的头号目标。它们除了窃取Poloniex用户的登录凭据外，还通过欺骗手段以达到恶意访问受害者的Gmail帐户的目的。

随着加密货币的不断升值，网络犯罪分子正通过各种手段和渠道（侵入浏览器、含漏洞的计算机，钓鱼网站和恶意软件等）窃取用户的登录凭据。

Poloniex作为全球著名的加密货币交易所之一，具有超过100种的加密货币可提供购买与被交易，正因为如此，它也是成为犯罪分子攻击的首选目标的原因之一，同时，由于Poloniex没有自己的官方移动应用程序，使得犯罪分子能够轻易通过伪造其官方应用来窃取用户的登录凭据。

2款恶意软件的介绍

第一款恶意软件名为“POLONIEX”，开发人员为“Poloniex”，于 2017年 8月 28日潜入谷歌应用商店，尽管它的评分较低评价也不大好，截止到2017年9月19日，它还是被下载安装高达5000多次。

第二款恶意软件命名为“Poloniex exchange”，开发人员为“Poloniex Company”，于2017年10月15日出现在谷歌应用商店中，在ESET通知谷歌应用商店下架它之前，显示被用户下载安装了500多次。

　　攻击者是如何操作的？

要通过恶意软件来接管用户的Poloniex帐户，攻击者首先在获取用户的登录凭据后，访问与被攻击用户的Poloniex帐户所关联的电子邮件帐户，并且删除所有未授权的与登录、交易相关的提醒邮件，最后，攻击者对他们的应用程序进行“看起来很实用”的包装，使得用户在使用该恶意软件时并不感到怀疑。

事实上，这两款恶意软件使用的是相同攻击方法来获利。在用户打开恶意软件后，软件会显示一个Poloniex登录的假页面。

当用户输入了自己的帐号密码并点击“登录”时，该帐号的所有信息将会发送给攻击者。 如果用户的Poloniex帐号刚好没有启用双重身份验证（邮箱验证），那么攻击者可以马上登录该帐户并执行各种操作，比如更改用户设置，更改密码使得原用户登录失败等。 当然，如果原用户使用了双重身份验证，那么账户就安全得多。 这是因为Poloniex通过谷歌验证向用户提供双重的身份验证，且随机生成登录验证码并通过短信、语音或谷歌验证软件等方式发送给用户，这些随机验证码攻击者是收不到的。

另外，如果攻击者成功地窃取到了用户的登录凭据，他们也会窃取用户的Gmail帐号密码； 假软件会显示一个假Google帐号登录页面，要求用户使用Google帐户登录进行双重身份验证。

在用户点击登录后，假软件将请求允许查看该用户的电子邮件消息和设置以及基本配置等文件信息。

如果用户授予权限，假软件将获得对其收件箱的访问权，通过访问用户的Poloniex帐户以及关联的Gmail帐户，攻击者可以使用受害者帐户进行交易，在其收件箱中删除有关未经授权登录和交易的任何提醒邮件。

最后，为了避免引起用户的怀疑，假软件将用户引导到Poloniex的官方网站，并且，该网站会要求用户进行登录操作。

用户登录进去之后，访问和使用的是Poloniex的官方网站，从那时起，恶意软件每次启动后都将直接跳转到Poloniex的官方网站。

如何保护自己的账户不受攻击？

如果你是Poloniex用户，并且你的手机已经安装了这两款恶意软件，首先请立即进行卸载，然后马上更改你的Poloniex和Gmail账户的密码，然后设置开启“启用账户的双重身份验证”。

并且，为了避免以后受到类似的攻击，你还可以这样做：

尽量从官方提供的下载渠道下载软件，确保软件是官方开发的、安全的

在应用商店下载软件时留意软件的星级和评论

远离钓鱼网站，仔细观察和分辨是否会是钓鱼网站

开启账户的双重身份验证

安装安全软件，检测所下载的软件是否为恶意软件

*参考来源： welivesecurity ，由J1anCan编译，转载请注明来自 FreeBuf.COM