FlyTrap Malware

En truende angrebskampagne målrettet mod Android -brugere og med det formål at indsamle deres Facebook -legitimationsoplysninger har tilsyneladende været i gang i flere måneder. Operationen implementerede en tidligere ukendt malware -trussel, der har fået navnet FlyTrap. Ifølge en rapport udgivet af forskerne på Zimperiums zLabs har FlyTrap været i stand til at kompromittere Facebook -konti med mere end 10.000 brugere fordelt på cirka 144 lande. Trusselsaktøren bag kampagnen ser ud til at fungere fra Vietnam.

Distributionsteknikker

FlyTrap -angrebet baserede sig på adskillige våbnede applikationer og brugte socialtekniske tricks til at lokke sine ofre. De truende applikationer var endda tilgængelige til download fra den officielle Google Play -butik, før de blev fjernet. Nu spreder de sig via tredjepartsplatforme og butikker. Indtil nu er ni forskellige applikationer, der leverer FlyTrap -malware, blevet opdaget - GG Voucher, Stem European Football, GG Coupon Ads, GG Voucher Ads, GG Voucher, Chatfuel, Net Coupon, a different Net Coupon and EURO 2021 Official. De foregiver at tilbyde lukrative belønninger, såsom Netflix eller Google AdWords -kuponkoder, eller forsøger at engagere brugerne gennem populære begivenheder som f.eks. At opfordre dem til at stemme på deres yndlingshold og spillere, der deltager i UEFA EURO 2020, der fandt sted mellem den 11. juni og juli 11, 2021. For at få adgang til de formodede belønninger blev brugerne bedt om at logge ind ved hjælp af deres Facebook -konti.

Truende funktionalitet

Når brugeren logger ind på kontoen, aktiverer og høster FlyTrap -malware offrets geolokalisering, e -mail -adresse, IP -adresse, Facebook -id og de cookies og tokens, der er relateret til den brudte Facebook -konto. Bagefter kunne angriberne udnytte den erhvervede information på flere måder. De kunne lancere desinformationskampagner, øge sponsorerede sider eller sprede propaganda via alle de kompromitterede konti eller sprede FlyTrap -malware endnu mere ved at sende lokkemeldinger til offerets kontaktliste. Trussels kerneteknik er kendt som JavaScript -injektion. Det indebærer, at den falske app åbner en legitim URL i et WebView -vindue, der er konfigureret til at tillade indsprøjtning af JavaScript -kode.