Το FlyTrap malware, μια νέα απειλή για Android, έχει χακάρει Facebook λογαριασμούς σε περισσότερες από 140 χώρες, κλέβοντας session cookies.
Τα FlyTrap hacking campaigns βασίζονται σε απλές social engineering τακτικές για να εξαπατήσουν τα θύματα να χρησιμοποιήσουν τους Facebook κωδικούς πρόσβασης για να συνδεθούν σε κακόβουλες εφαρμογές οι οποίες, στη συνέχεια, κλέβουν δεδομένα που σχετίζονται με τις συνεδρίες των κοινωνικών μέσων.
Ερευνητές της mobile security εταιρείας Zimperium εντόπισαν το νέο κακόβουλο λογισμικό και διαπίστωσαν ότι οι κλεμμένες πληροφορίες ήταν προσβάσιμες σε οποιονδήποτε εντόπιζε τον command and control (C2) server του FlyTrap.
Τα FlyTrap hacking campaigns τρέχουν τουλάχιστον από τον Μάρτιο. Ο hacker / hackers χρησιμοποίησε κακόβουλες εφαρμογές με υψηλή ποιότητα σχεδίασης, διανεμημένες μέσω του Google Play και των καταστημάτων Android τρίτων κατασκευαστών.
Το δέλεαρ περιελάμβανε προσφορές για δωρεάν κωδικούς κουπονιών (για Netflix, Google AdWords) και ψηφοφορίες για διάσημες ομάδες ποδοσφαίρου ή ποδοσφαιριστές υψηλής αναγνωρισιμότητας, εν όψει του UEFA Euro 2020.
Η λήψη της υποσχόμενης ανταμοιβής απαιτούσε σύνδεση στην εφαρμογή χρησιμοποιώντας τα διαπιστευτήρια του Facebook, ενώ ο έλεγχος ταυτότητας πραγματοποιείται στο νόμιμο domain των κοινωνικών μέσων.
Δεδομένου ότι οι κακόβουλες εφαρμογές χρησιμοποιούν την αυθεντική υπηρεσία single sign-on στο Facebook (SSO), δεν μπορούν να συλλέξουν τα διαπιστευτήρια των χρηστών. Αντ ‘αυτού, το FlyTrap βασίζεται σε JavaScript injection για τη συλλογή άλλων ευαίσθητων δεδομένων.
Χρησιμοποιώντας αυτήν την τεχνική, η εφαρμογή ανοίγει το νόμιμο URL μέσα σε ένα WebView που έχει διαμορφωθεί με δυνατότητα εισαγωγής JavaScript code και εξάγει όλες τις απαραίτητες πληροφορίες, όπως cookie, στοιχεία λογαριασμού χρήστη, τοποθεσία και διεύθυνση IP με JS code injection.
Πηγή: secnews.gr
