FlyTrap Вредоносное ПО

Кампания угрожающих атак, нацеленных на пользователей Android и направленных на сбор их учетных данных Facebook, по всей видимости, продолжается уже несколько месяцев. В ходе операции была задействована ранее неизвестная вредоносная угроза, получившая название FlyTrap. Согласно отчету, опубликованному исследователями zLabs Zimperium, FlyTrap смогла взломать учетные записи Facebook более чем 10 000 пользователей в примерно 144 странах. Похоже, что злоумышленник, стоящий за кампанией, действует из Вьетнама.

Методы распространения

Атака FlyTrap опиралась на многочисленные оружейные приложения и использовала уловки социальной инженерии, чтобы заманить своих жертв. Угрожающие приложения были даже доступны для загрузки в официальном магазине Google Play до того, как были удалены. Теперь они распространяются через сторонние платформы и магазины. На данный момент было обнаружено девять различных приложений, доставляющих вредоносное ПО FlyTrap - GG Voucher, Vote European Football, GG Coupon Ads, GG Voucher Ads, GG Voucher, Chatfuel, Net Coupon, другой Net Coupon и EURO 2021 Official. Они делают вид, что предлагают выгодные вознаграждения, такие как коды купонов Netflix или Google AdWords, или пытаются привлечь пользователей с помощью популярных мероприятий, таких как призывы проголосовать за свою любимую команду и игроков, участвующих в UEFA EURO 2020, который проходил с 11 июня по июль. 11, 2021. Однако, чтобы получить доступ к предполагаемым вознаграждениям, пользователям было предложено войти в систему, используя свои учетные записи Facebook.

Угрожающая функциональность

Когда пользователь входит в учетную запись, вредоносная программа FlyTrap активирует и собирает геолокацию жертвы, адрес электронной почты, IP-адрес, идентификатор Facebook, а также файлы cookie и токены, связанные с взломанной учетной записью Facebook. После этого злоумышленники могут использовать полученную информацию разными способами. Они могут запускать кампании по дезинформации, продвигать спонсируемые страницы или распространять пропаганду через все взломанные учетные записи или еще больше распространять вредоносное ПО FlyTrap, отправляя сообщения-приманки в список контактов жертвы. Основной прием угрозы известен как инъекция JavaScript. Он включает в себя фальшивое приложение, открывающее законный URL-адрес внутри окна WebView, которое настроено так, чтобы разрешить внедрение кода JavaScript.