Зловреден софтуер на FlyTrap

Очевидно кампания за заплаха с атака, насочена към потребителите на Android и с цел събиране на техните идентификационни данни във Facebook, продължава от месеци. Операцията внедри неизвестна досега заплаха от злонамерен софтуер, наречена FlyTrap. Според доклад, публикуван от изследователите в zLabs на Zimperium, FlyTrap е успял да компрометира акаунти във Facebook на повече от 10 000 потребители, разпространени в приблизително 144 страни. Акторът на заплаха зад кампанията изглежда действа от Виетнам.

Техники на разпространение

Атаката FlyTrap разчиташе на множество оръжейни приложения и използваше трикове за социално инженерство, за да примами своите жертви. Заплашващите приложения дори бяха достъпни за изтегляне от официалния магазин на Google Play, преди да бъдат свалени. Сега те се разпространяват чрез платформи и магазини на трети страни. Досега са открити девет различни приложения, доставящи злонамерен софтуер FlyTrap - GG Voucher, Vote European Football, GG Coupon Ads, GG Voucher Ads, GG Voucher, Chatfuel, Net Coupon, различен Net Coupon и EURO 2021 Official. Те се преструват, че предлагат изгодни награди, като например кодове на купони на Netflix или Google AdWords, или се опитват да ангажират потребителите чрез популярни събития, като ги призовават да гласуват за любимия си отбор и играчи, участващи в УЕФА ЕВРО 2020, което се проведе между 11 юни и юли 11, 2021. Въпреки това, за достъп до предполагаемите награди, на потребителите беше казано да влязат, използвайки своите акаунти във Facebook.

Заплашваща функционалност

Когато потребителят влезе в акаунта, злонамереният софтуер на FlyTrap активира и събира геолокацията на жертвата, имейл адреса, IP адреса, Facebook ID и бисквитките и жетоните, свързани с проникналия Facebook акаунт. След това нападателите биха могли да използват придобитата информация по много начини. Те биха могли да стартират кампании за дезинформация, да стимулират спонсорирани страници или да разпространяват пропаганда чрез всички компрометирани акаунти или да разпространяват още повече зловредния софтуер FlyTrap, като изпращат примамливи съобщения до списъка с контакти на жертвата. Основната техника на заплахата е известна като инжектиране на JavaScript. Това включва фалшиво приложение, което отваря легитимен URL адрес в прозорец на WebView, който е конфигуриран да позволява инжектирането на JavaScript код.