FlyTrap Malware
एंड्रॉइड उपयोगकर्ताओं को लक्षित करने और उनके फेसबुक क्रेडेंशियल्स को इकट्ठा करने का लक्ष्य रखने वाला एक धमकी भरा हमला अभियान महीनों से चल रहा है। ऑपरेशन ने पहले से अज्ञात मैलवेयर खतरे को तैनात किया जिसे फ्लाईट्रैप नाम दिया गया है। Zimperium के zLabs के शोधकर्ताओं द्वारा जारी एक रिपोर्ट के अनुसार, फ्लाईट्रैप लगभग 144 देशों में फैले 10,000 से अधिक उपयोगकर्ताओं के फेसबुक खातों से समझौता करने में सक्षम है। ऐसा प्रतीत होता है कि अभियान के पीछे धमकी देने वाला अभिनेता वियतनाम से संचालित हो रहा है।
वितरण तकनीक
फ्लाईट्रैप हमले ने कई हथियारबंद अनुप्रयोगों पर भरोसा किया और अपने पीड़ितों को लुभाने के लिए सोशल इंजीनियरिंग के तरकीबें अपनाईं। धमकी भरे एप्लिकेशन डाउनलोड किए जाने से पहले आधिकारिक Google Play स्टोर से डाउनलोड के लिए भी उपलब्ध थे। अब, वे तीसरे पक्ष के प्लेटफॉर्म और स्टोर के माध्यम से फैल रहे हैं। अब तक फ्लाईट्रैप मालवेयर पहुंचाने वाले नौ अलग-अलग एप्लिकेशन का पता चला है - जीजी वाउचर, वोट यूरोपीय फुटबॉल, जीजी कूपन विज्ञापन, जीजी वाउचर विज्ञापन, जीजी वाउचर, चैटफ्यूल, नेट कूपन, एक अलग नेट कूपन और यूरो 2021 आधिकारिक। वे नेटफ्लिक्स या Google ऐडवर्ड्स कूपन कोड जैसे आकर्षक पुरस्कारों की पेशकश करने का दिखावा करते हैं, या 11 जून और जुलाई के बीच हुए यूईएफए यूरो 2020 में भाग लेने वाले खिलाड़ियों को अपनी पसंदीदा टीम और खिलाड़ियों के लिए वोट करने का आग्रह करने जैसे लोकप्रिय कार्यक्रमों के माध्यम से उपयोगकर्ताओं को शामिल करने का प्रयास करते हैं। 11, 2021। हालांकि, कथित पुरस्कारों तक पहुंचने के लिए, उपयोगकर्ताओं को अपने फेसबुक खातों का उपयोग करके लॉग इन करने के लिए कहा गया था।
धमकी की कार्यक्षमता
जब उपयोगकर्ता खाते में साइन इन करता है, तो फ्लाईट्रैप मैलवेयर पीड़ित के भौगोलिक स्थान, ईमेल पते, आईपी पते, फेसबुक आईडी, और भंग किए गए फेसबुक खाते से संबंधित कुकीज़ और टोकन को सक्रिय और कटाई करता है। बाद में, हमलावर कई तरीकों से हासिल की गई जानकारी का फायदा उठा सकते थे। वे दुष्प्रचार अभियान शुरू कर सकते हैं, प्रायोजित पृष्ठों को बढ़ावा दे सकते हैं, या सभी समझौता किए गए खातों के माध्यम से प्रचार प्रसार कर सकते हैं या पीड़ितों की संपर्क सूची में लालच संदेश भेजकर फ्लाईट्रैप मैलवेयर का प्रचार कर सकते हैं। खतरे की मुख्य तकनीक को जावास्क्रिप्ट इंजेक्शन के रूप में जाना जाता है। इसमें वेबव्यू विंडो के अंदर एक वैध यूआरएल खोलने वाला नकली ऐप शामिल है जिसे जावास्क्रिप्ट कोड के इंजेक्शन की अनुमति देने के लिए कॉन्फ़िगर किया गया है।
