...
🧠 Blogi on pühendatud VPN-i ja turvalisuse, andmete privaatsuse teemale Internetis. Räägime praegustest kaitsega seotud trendidest ja uudistest.
AndmekaitseJärelevalveKindral

FlyTrap Androidi pahavara kaaperdab tuhandeid Facebooki kontosid

11
Sisu
Mis on FlyTrap troojalane?
Kuidas FlyTrapi pahavara töötab?
FlyTrap Trooja Androidi rakendused
Kuidas kaitsta oma Android-seadet?

Uus Androidi pahavara koodnimega FlyTrap on alates 2021. aasta märtsist kaaperdanud sotsiaalmeedias üle 10 000 konto 140 riigis. See on sihiks võtnud kasutajaid sotsiaalmeedia kaaperdamise, külglaaditud rakenduste ja kolmandate osapoolte rakenduste poodide kaudu. 

Pärast kohtuekspertiisi uurimist avastas Zimperiumi zLabi ohtude uurimisrühm Zimperiumi z9 pahavaramootori abil mobiilis avastamata rakendusi. Nad tegid kindlaks, et avastamata pahavara on osa Trooja perekonnast, mis kasutab Facebooki kontode kaaperdamiseks sotsiaalse manipuleerimise tehnikaid.

Uurimisrühm avastas tõendeid, mis viitavad pahatahtlikele osapooltele Vietnamis, kes korraldavad seda sotsiaalmeedia kaaperdamiskampaaniat alates 2021. aasta märtsist . Pahavara levitati algselt Google Play poe ja kolmandate osapoolte rakenduste kaudu.

zLabs teatas oma leidudest Google'ile, kes kontrollis teavet ja eemaldas Play poest pahatahtlikud rakendused. Kuid need rakendused on endiselt saadaval kolmandate osapoolte rakenduste poodides, " tuues esile ohtu, et rakendused laaditakse mobiilsetesse lõpp-punktidesse ja kasutajaandmetesse ," juhib Zimperium tähelepanu .

zLabs esitas ka kaardi, mis näitab FlyTrapi ohvrite jaotust 144 riigis.

FlyTrapi ohvrite jaotuskaart. (Pilt: Zimperium)

Mis on FlyTrap troojalane?

Rakendustesse manustatud troojalane FlyTrap kujutab endast ohtu sihtmärgi sotsiaalsele identiteedile, kaaperdades nende Facebooki kontod, süstides pahavara nende Android-seadmetesse. See kogub ohvrite kohta järgmist kasutajateavet:

  • Facebooki ID
  • E-posti aadress
  • IP-aadress
  • Asukoht
  • Facebooki kontoga seotud küpsised

Neid kaaperdatud Facebooki kontosid saab kasutada nii pahavara levitamiseks ühelt ohvrilt teisele kui ka desinformatsioonikampaaniate levitamiseks, kasutades sihtmärgi geograafilist asukohta.

Kuidas FlyTrapi pahavara töötab?

FlyTrapi taga olevad küberkurjategijad kasutavad erinevaid ahvatlevaid meetodeid, nagu tasuta Netflixi kupongid, Google AdWordsi kupongid ja parima jalgpallimeeskonna või -mängijate hääletamine. Algselt meelitas rakendus kasutajaid rakendust usaldama ja selle alla laadima. Pärast rakenduse allalaadimist köitis see kasutajat, kuvades erinevaid lehti või paludes tal hääletada parima või enama meeskonna poolt.

(Pilt: Zimperium)

Seejärel näitab see kasutaja Facebooki legitiimset sisselogimislehte ja palub tal oma kontole sisse logida, et saaks hääletada ja kupongikoodi koguda. Kui kasutaja logib sisse ja osaleb võltshääletusel, kuvab see võltsitud kupongi koodi ja teate, et kupongi kood on aegunud, nagu on näidatud allolevatel ekraanipiltidel:

(Pilt: Zimperium)

Kui kasutaja logib oma Facebooki kontole sisse, kasutab pahavara JavaScripti süsti, et kaaperdada sihtmärgid Facebooki ID, e-posti aadress, IP-aadress ja asukoht, kasutades pahatahtlikku JS-koodi.

Koodi ekraanipilt, mis sisaldab käsu- ja juhtimiskeskuse serverisse eksfiltreeritavate andmete tüüpi. (Pilt: Zimperium)

Veebiressurssidega manipuleerimist nimetatakse põhimõtetevaheliseks manipuleerimiseks (XPM). Lisateabe saamiseks vaadake seda uuringut " Veebiressursside manipuleerimise empiiriline uuring reaalsetes mobiilirakendustes ". Pärast edukat Facebooki sisselogimist alustab ohver andmete väljafiltreerimise protsessi, nagu on näha allpool:

FlyTrapi andmete väljafiltreerimine on pooleli. (Pilt: Zimperium)

Seejärel kasutab käsu- ja juhtimisserver kogutud andmetele juurdepääsuks Facebooki sisselogimismandaate. Kõige hullem on see, et Command and Control serveri turvaaukude tõttu võib kogu varastatud teabe andmebaas olla Internetis kõigile kättesaadav.

Käsu- ja juhtimisserver, mis salvestab kaaperdatud seansse. (Pilt: Zimperium)

FlyTrap Trooja Androidi rakendused

Zimperiumi zLab on välja andnud järgmise kompromissinäitajate loendi, nagu on näha FlyTrapi pahavara Androidi rakendustes:

Kuidas kaitsta oma Android-seadet?

FlyTrap Trojan on vaid üks näide üha suurenevatest ja levivatest turvaohtudest, mille eesmärk on isikuandmete varastamine. Teine hiljutine Androidi kasutajatele suunatud pahavara oli Jokeri pahavara, mis kasutas seadmete nakatamiseks ka Google Play poodi.

Zimperiumi lõpp-punktide turvalisuse direktor Richard Melick ütles, et Androidi kasutajad võivad vähendada nakatumise võimalust, blokeerides taustal rakenduste installimise ebausaldusväärsetest ressurssidest. See on saadaval ka värskes Androidi turvavärskenduses.

Kui kahtlustate, et teie Facebooki konto on sattunud ohtu, logige kohe kõigist seadmetest välja. Melik andis ka nõu,

„Üldiselt tähendab see teadlikkust sellest, mida rakendus taotleb. Kui peate kupongile või tehingule juurdepääsu saamiseks looma ühenduse oma sotsiaalmeedia kontodega, tehke paus ja küsige, miks. Milleks sai sait/kupongifirma nüüd neid andmeid kasutada?

Teie Android-seadmete kaitsmise tagamiseks pahavara eest soovitame kasutada viirusetõrje-/ pahavaratarkvara ja Androidi VPN-i. Samuti saate hankida VPN-i, mis pakub viirusetõrjefunktsiooni, nagu Norton Security, McAfee Safe Connect ja palju muud.

Sulle võib ka meeldida Veel autorilt
Veel lugusid

PIA VPN Reddit – (Redditori autentsed kommentaarid)

Kuidas installida Kodi privaatne Interneti-juurdepääs…

Kuidas ipVanishist tühistada ja raha tagasi saada…

1 kohta 446

See veebisait kasutab teie kasutuskogemuse parandamiseks küpsiseid. Eeldame, et olete sellega rahul, kuid saate soovi korral loobuda. Nõustu Loe rohkem