FlyTrap Malware

Görünüşe göre, Android kullanıcılarını hedef alan ve Facebook kimlik bilgilerini toplamayı amaçlayan tehditkar bir saldırı kampanyası aylardır sürüyor. Operasyon, FlyTrap adlı önceden bilinmeyen bir kötü amaçlı yazılım tehdidini dağıttı. Zimperium'un zLabs'ındaki araştırmacılar tarafından yayınlanan bir rapora göre, FlyTrap yaklaşık 144 ülkeye yayılmış 10.000'den fazla kullanıcının Facebook hesaplarını ele geçirmeyi başardı. Kampanyanın arkasındaki tehdit aktörü Vietnam'dan faaliyet gösteriyor gibi görünüyor.

Dağıtım Teknikleri

FlyTrap saldırısı, çok sayıda silahlı uygulamaya dayanıyordu ve kurbanlarını cezbetmek için sosyal mühendislik hileleri kullandı. Tehdit edici uygulamalar, kaldırılmadan önce resmi Google Play mağazasından indirilebiliyordu. Şimdi, üçüncü taraf platformlar ve mağazalar aracılığıyla yayılıyorlar. Şimdiye kadar FlyTrap kötü amaçlı yazılımını dağıtan dokuz farklı uygulama tespit edildi - GG Voucher, Vote European Football, GG Coupon Ads, GG Voucher Ads, GG Voucher, Chatfuel, Net Kupon, farklı bir Net Kupon ve EURO 2021 Yetkilisi. Netflix veya Google AdWords kupon kodları gibi kazançlı ödüller sunuyormuş gibi davranıyorlar veya 11 Haziran ile Temmuz arasında gerçekleşen UEFA EURO 2020'ye katılan favori takımları ve oyuncuları için oy vermeye teşvik etmek gibi popüler etkinlikler aracılığıyla kullanıcıları meşgul etmeye çalışıyorlar. 11, 2021. Ancak, sözde ödüllere erişmek için kullanıcılara Facebook hesaplarını kullanarak giriş yapmaları söylendi.

Tehdit Eden İşlevsellik

Kullanıcı hesapta oturum açtığında, FlyTrap kötü amaçlı yazılımı, kurbanın coğrafi konumunu, e-posta adresini, IP adresini, Facebook kimliğini ve ihlal edilen Facebook hesabıyla ilgili çerezleri ve belirteçleri etkinleştirir ve toplar. Daha sonra, saldırganlar elde edilen bilgilerden çeşitli şekillerde yararlanabilir. Dezenformasyon kampanyaları başlatabilir, sponsorlu sayfaları destekleyebilir veya güvenliği ihlal edilmiş tüm hesaplar aracılığıyla propaganda yayabilir ya da kurbanın kişi listesine cazibe mesajları göndererek FlyTrap kötü amaçlı yazılımını daha da yaygınlaştırabilirler. Tehdidin temel tekniği JavaScript enjeksiyonu olarak bilinir. JavaScript kodunun enjeksiyonuna izin verecek şekilde yapılandırılmış bir WebView penceresi içinde meşru bir URL açan sahte uygulamayı içerir.