Threat Database Malware FlyTrap Malware

FlyTrap Malware

En hotande attackkampanj riktad mot Android -användare och som syftar till att samla in sina Facebook -uppgifter har pågått i flera månader tydligen. Operationen implementerade ett tidigare okänt hot mot skadlig kod som har fått namnet FlyTrap. Enligt en rapport som släpptes av forskarna vid Zimperiums zLabs har FlyTrap kunnat kompromissa med Facebook -konton för mer än 10 000 användare spridda i cirka 144 länder. Hotaktören bakom kampanjen verkar fungera från Vietnam.

Distributionsteknik

FlyTrap -attacken förlitade sig på många vapenstillämpade applikationer och använde sociala tekniska knep för att locka sina offer. De hotfulla programmen var till och med tillgängliga för nedladdning från den officiella Google Play -butiken innan de togs ner. Nu sprider de sig genom plattformar och butiker från tredje part. Hittills har nio olika applikationer som levererar FlyTrap -skadlig programvara upptäckts - GG Voucher, Rösta europeisk fotboll, GG -kupongannonser, GG Voucher Ads, GG Voucher, Chatfuel, Net Coupon, en annan Net -kupong och EURO 2021 Official. De låtsas erbjuda lukrativa belöningar, som Netflix eller Google AdWords -kupongkoder, eller försöker engagera användare genom populära evenemang som att uppmana dem att rösta på deras favoritlag och spelare som deltar i UEFA EURO 2020 som ägde rum mellan 11 juni och juli 11, 2021. Men för att komma åt de förmodade belöningarna fick användarna besked att logga in med sina Facebook -konton.

Hotande funktionalitet

När användaren loggar in på kontot aktiverar och skördar FlyTrap -skadlig programvaran offrets geografiska plats, e -postadress, IP -adress, Facebook -ID och kakor och tokens relaterade till det kränkta Facebook -kontot. Därefter kunde angriparna utnyttja den inhämtade informationen på flera sätt. De kan starta desinformationskampanjer, öka sponsrade sidor eller sprida propaganda via alla de komprometterade kontona eller sprida FlyTrap -skadlig programvara ännu mer genom att skicka lockmeddelanden till offrets kontaktlista. Kärntekniken för hotet är känd som JavaScript -injektion. Det innebär att den falska appen öppnar en legitim URL i ett WebView -fönster som är konfigurerat för att tillåta inmatning av JavaScript -kod.

Trendigt

Mest sedda

Läser in...