Snap Store是由 Canonical 运营的集中式应用程序仓库,用于分发 snap 软件包。它允许开发者以相对较低的门槛发布应用程序,用户则可以通过单一可信渠道自动安装和更新软件。然而,这种信任如今正面临考验。
在一篇博客文章中,长期活跃于Ubuntu社区、曾就职于Canonical公司并仍然活跃于Snap平台的Alan Pope发出警告,指出Snap软件包正面临一个令人担忧的趋势。他维护着近50个Snap软件包,拥有数千用户。以下是文章的详细内容。
一年多来,Pope 和其他安全专家一直在记录一场持续不断的恶意 Snap 攻击活动,这些 Snap 会冒充加密货币钱包应用程序。这些虚假应用程序通常模仿 Exodus、Ledger Live 或 Trust Wallet 等知名项目,诱骗用户输入钱包恢复短语,然后将这些短语发送给攻击者,导致用户资金被盗。
该活动的早期版本依赖于新创建的发布商账户和视觉效果出色的店铺页面。然而,据波普称,最新的转变标志着此次活动的显著升级。
攻击者不再创建新账户,而是监控 Snap Store,寻找域名过期的发布商。一旦某个域名失效,攻击者就会注册该域名,触发与该域名关联的 Snap Store 账户的密码重置,从而控制已建立的发布商身份。之后,他们可以向用户可能信任并已安装多年的 Snap 应用推送恶意更新。
Pope 已确认至少有两个发布商域名,更具体地说是 storewise.tech 和 vagueentertainment.com,它们都遭到了这种攻击。在这两个案例中,原本无害的 snap 应用被更新,植入了窃取钱包的恶意软件,而发布商的身份或信誉却没有明显改变。
对恶意 Snap 文件的分析显示出一种反复出现的模式。这些应用程序会提供一个与合法钱包软件极为相似的网页界面。启动时,它们会尝试连接远程端点以验证网络连接,然后再继续执行后续操作。
如果用户提交了恢复短语,该短语会立即被发送到攻击者的服务器。等到骗局败露时,钱包里的钱通常已经被盗走了。
当然,Canonical 已经删除了已报告的恶意 snap 包,但 Pope 指出,强制执行往往滞后于发现,这使得恶意更新能够持续存在足够长的时间,从而影响用户。
与此同时,Snap 发行商应及时更新域名注册信息并启用双因素身份验证。此外,用户也被强烈建议避免从应用商店安装加密货币钱包应用,而应直接从官方项目网站获取。
