FlyTrap Malware
A quanto pare, da mesi è in corso una minacciosa campagna di attacchi rivolti agli utenti Android con l'obiettivo di raccogliere le loro credenziali di Facebook. L'operazione ha distribuito una minaccia malware precedentemente sconosciuta che è stata denominata FlyTrap. Secondo un rapporto pubblicato dai ricercatori degli zLabs di Zimperium, il FlyTrap è stato in grado di compromettere gli account Facebook di oltre 10.000 utenti sparsi in circa 144 paesi. L'attore della minaccia dietro la campagna sembra operare dal Vietnam.
Tecniche di distribuzione
L'attacco FlyTrap si è basato su numerose applicazioni armate e ha impiegato trucchi di ingegneria sociale per attirare le sue vittime. Le applicazioni minacciose erano persino disponibili per il download dal Google Play Store ufficiale prima di essere rimosse. Ora si stanno diffondendo attraverso piattaforme e negozi di terze parti. Finora sono state rilevate nove diverse applicazioni che forniscono il malware FlyTrap: GG Voucher, Vote European Football, GG Coupon Ads, GG Voucher Ads, GG Voucher, Chatfuel, Net Coupon, un Net Coupon diverso e EURO 2021 Official. Fingono di offrire ricompense redditizie, come codici coupon Netflix o Google AdWords, o cercano di coinvolgere gli utenti attraverso eventi popolari come esortarli a votare per la loro squadra preferita e i giocatori che partecipano a UEFA EURO 2020 che si è svolto tra l'11 giugno e il luglio 11, 2021. Tuttavia, per accedere ai presunti premi, agli utenti è stato detto di accedere utilizzando i propri account Facebook.
Funzionalità minacciosa
Quando l'utente accede all'account, il malware FlyTrap attiva e raccoglie la geolocalizzazione, l'indirizzo e-mail, l'indirizzo IP, l'ID Facebook della vittima e i cookie e i token relativi all'account Facebook violato. Successivamente, gli aggressori potrebbero sfruttare le informazioni acquisite in diversi modi. Potrebbero lanciare campagne di disinformazione, aumentare le pagine sponsorizzate o diffondere propaganda attraverso tutti gli account compromessi o propagare ulteriormente il malware FlyTrap inviando messaggi di richiamo all'elenco dei contatti della vittima. La tecnica principale della minaccia è nota come JavaScript injection. Implica che l'app falsa apra un URL legittimo all'interno di una finestra WebView configurata per consentire l'iniezione di codice JavaScript.
