Un nouveau logiciel malveillant Android portant le nom de code FlyTrap a piraté plus de 10 000 comptes sur les réseaux sociaux dans 140 pays depuis mars 2021. Il a ciblé les utilisateurs via le piratage des réseaux sociaux, des applications téléchargées de côté et des magasins d'applications tiers.
À la suite de l'enquête médico-légale, l'équipe de recherche sur les menaces du zLab de Zimperium a découvert des applications non détectées sur mobile à l'aide du moteur de malware z9 de Zimperium. Ils ont déterminé que le logiciel malveillant non détecté fait partie d'une famille de chevaux de Troie qui utilise des techniques d'ingénierie sociale pour détourner des comptes Facebook.
L'équipe de recherche a découvert des preuves indiquant que des parties malveillantes au Vietnam menaient cette campagne de piratage des médias sociaux depuis mars 2021. Le malware était initialement distribué via Google Play Store et des applications tierces.
zLabs a signalé ses découvertes à Google, qui a vérifié les informations et supprimé les applications malveillantes du Play Store. Cependant, ces applications sont toujours disponibles sur des boutiques d'applications tierces, «mettant en évidence le risque de téléchargement d'applications sur les terminaux mobiles et les données des utilisateurs », souligne Zimperium.
zLabs a également fourni une carte montrant la répartition des victimes de FlyTrap dans 144 pays.
Carte de répartition des victimes du FlyTrap. (Image: Zimperium)
Qu'est-ce que le cheval de Troie FlyTrap ?
Le cheval de Troie FlyTrap intégré dans les applications constitue une menace pour l'identité sociale de la cible en détournant leurs comptes Facebook en injectant le logiciel malveillant sur leurs appareils Android. Il recueille les informations suivantes sur les utilisateurs des victimes :
- Facebook ID
- Adresse e-mail
- adresse IP
- Emplacement
- Cookies associés au compte Facebook
Ces comptes Facebook piratés peuvent être utilisés pour propager le logiciel malveillant d'une victime à une autre ainsi que pour diffuser des campagnes de désinformation en utilisant la géolocalisation de la cible.
Comment fonctionne le logiciel malveillant FlyTrap ?
Les cybercriminels derrière FlyTrap utilisent diverses méthodes attrayantes telles que des coupons Netflix gratuits, des coupons Google AdWords et le vote pour la meilleure équipe de football ou les meilleurs joueurs. Au départ, l'application a incité les utilisateurs à faire confiance à l'application et à la télécharger. Après avoir téléchargé l'application, celle-ci engageait l'utilisateur en affichant différentes pages ou en lui demandant de voter pour la meilleure équipe ou plus.
(Image: Zimperium)
Il affiche ensuite la page de connexion légitime de l'utilisateur Facebook et lui demande de se connecter à son compte pour pouvoir voter et récupérer le code promo. Une fois que l'utilisateur se connecte et participe au "faux vote", il affiche le faux code de coupon et un message indiquant que le "code de coupon a expiré", comme indiqué dans les captures d'écran ci-dessous :
(Image: Zimperium)
Une fois que l'utilisateur s'est connecté à son compte Facebook, le logiciel malveillant utilise l'injection JavaScript pour détourner l'identifiant Facebook, l'adresse e-mail, l'adresse IP et l'emplacement en utilisant le code JS malveillant.
Capture d'écran de code contenant le type de données qui seront exfiltrées vers le serveur Command and Control Center. (Image: Zimperium)
La manipulation des ressources Web est appelée manipulation inter-principal (XPM). Pour plus d'informations, vous pouvez consulter cette étude, " Une étude empirique de la manipulation des ressources Web dans les applications mobiles du monde réel ". Après une connexion réussie à Facebook, la victime lance le processus d'exfiltration de données, comme on peut le voir ci-dessous :
Exfiltration de données FlyTrap en cours. (Image: Zimperium)
Le serveur Command and Control utilise ensuite les identifiants de connexion Facebook pour accéder aux données récoltées. Le pire, c'est qu'en raison de failles de sécurité dans le serveur de commande et de contrôle, toute la base de données d'informations volées peut être exposée à n'importe qui sur Internet.
Serveur de commande et de contrôle stockant les sessions piratées. (Image: Zimperium)
Applications Android cheval de Troie FlyTrap
Le zLab de Zimperium a publié la liste suivante d'indicateurs de compromission tels qu'ils apparaissent dans les applications Android malveillantes FlyTrap :
Comment protéger votre appareil Android ?
Le cheval de Troie FlyTrap n'est qu'un exemple des menaces de sécurité croissantes et répandues visant à voler des informations personnelles. Un autre malware récent ciblant les utilisateurs d'Android était le Joker Malware qui utilisait également Google Play Store pour infecter les appareils.
Le directeur de la sécurité des terminaux de Zimperium, Richard Melick, a déclaré que les utilisateurs d'Android pourraient réduire les risques d'infection en bloquant l'installation d'applications à partir de ressources non fiables en arrière-plan. Ceci est également disponible dans la récente mise à jour de sécurité Android.
Si vous pensez que votre compte Facebook a été compromis, déconnectez-vous immédiatement de tous les appareils. Melik a également conseillé,
« Dans l'ensemble, il s'agit d'être conscient de ce que demande une application. Si vous devez vous connecter à vos comptes de médias sociaux pour accéder à un coupon ou à une offre, faites une pause et demandez pourquoi. À quoi le site / la société de coupons pourrait-il désormais utiliser ces données ? »
Pour vous assurer que vos appareils Android sont protégés contre les logiciels malveillants, nous vous recommandons d'utiliser un logiciel antivirus/malware et un VPN pour Android. Vous pouvez également obtenir un VPN qui offre une fonction antivirus ainsi que Norton Security, McAfee Safe Connect et plus encore.