Google PlayでWhatsAppの偽アプリ登場

以前サプライチェーンに仕込まれた攻撃について書きました。その時はVisual Studioに紛れ込ませたDLLにより細工されたCCleanerが出回った例でした。今回はGoogle PlayでWhatsApp社を詐称した攻撃者が怪しいアプリを配布しているケースです。正直どちらも”サプライチェーン”系って呼んでいいのか分かりません。

Fake WhatsApp On Google Play Store Downloaded By Over 1 Million Android Users

The app maker added a Unicode character space after the actual WhatsApp Inc. name, which in computer code reads WhatsApp+Inc%C2%A0

この’space’キャラクターってのは良く読むと普通のspaceではなくてnbspでした。WikipediaにEmacsでの入力方法が書いてあったのでnbsp入りファイルを作ってみました。

Non-breaking space – Wikipedia

GNU Emacs    Ctrl+X 8 Space

Emacsでこれを含むファイルを開くと以下のように赤線で表示されるようです。

そして端末で赤線部分を確認すると0xC2A0であることがわかります。

$ file ./nbsp.txt
./nbsp.txt: UTF-8 Unicode text
$ cat ./nbsp.txt
WhatsApp Inc.
$ tr -d '\n' < !$ | od -t x1 -c
0000000 57 68 61 74 73 41 70 70 20 49 6e 63 2e c2 a0
         W  h  a  t  s  A  p  p   I  n  c  . 302  240

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s