FlyTrap Malware

Groźna kampania ataków wymierzona w użytkowników Androida i mająca na celu zebranie ich danych uwierzytelniających na Facebooku trwa najwyraźniej od miesięcy. W ramach operacji wdrożono nieznane wcześniej zagrożenie złośliwym oprogramowaniem, które nazwano FlyTrap. Według raportu opublikowanego przez badaczy z zLabs Zimperium, FlyTrap był w stanie skompromitować konta Facebooka ponad 10 000 użytkowników w około 144 krajach. Zagrożenie stojące za kampanią wydaje się działać z Wietnamu.

Techniki dystrybucji

Atak FlyTrap opierał się na wielu uzbrojonych aplikacjach i wykorzystywał sztuczki socjotechniczne, aby zwabić ofiary. Groźne aplikacje były nawet dostępne do pobrania z oficjalnego sklepu Google Play, zanim zostały usunięte. Teraz rozprzestrzeniają się za pośrednictwem platform i sklepów innych firm. Jak dotąd wykryto dziewięć różnych aplikacji dostarczających szkodliwe oprogramowanie FlyTrap - GG Voucher, Vote European Football, GG Coupon Ads, GG Voucher Ads, GG Voucher, Chatfuel, Net Coupon, inny Net Coupon i EURO 2021 Official. Udają, że oferują lukratywne nagrody, takie jak kody kuponów Netflix lub Google AdWords, lub próbują zaangażować użytkowników poprzez popularne wydarzenia, takie jak zachęcanie ich do głosowania na ulubioną drużynę i zawodników uczestniczących w UEFA EURO 2020, które odbyły się między 11 czerwca a lipcem 11, 2021. Jednak, aby uzyskać dostęp do rzekomych nagród, użytkownikom kazano zalogować się za pomocą swoich kont na Facebooku.

Groźna funkcjonalność

Gdy użytkownik zaloguje się na konto, szkodliwe oprogramowanie FlyTrap aktywuje i przechwytuje geolokalizację ofiary, adres e-mail, adres IP, identyfikator Facebooka oraz pliki cookie i tokeny związane z naruszonym kontem na Facebooku. Następnie osoby atakujące mogły wykorzystać zdobyte informacje na wiele sposobów. Mogą uruchamiać kampanie dezinformacyjne, wzmacniać sponsorowane strony lub rozpowszechniać propagandę za pośrednictwem wszystkich zhakowanych kont lub rozpowszechniać złośliwe oprogramowanie FlyTrap jeszcze bardziej, wysyłając wiadomości z przynętą na listę kontaktów ofiary. Podstawowa technika zagrożenia jest znana jako wstrzykiwanie JavaScript. Polega ona na tym, że fałszywa aplikacja otwiera prawidłowy adres URL w oknie WebView, które jest skonfigurowane tak, aby umożliwić wstrzyknięcie kodu JavaScript.