En ny skadlig programvara för Android med kodnamnet FlyTrap har kapat över 10 000 konton på sociala medier i 140 länder sedan mars 2021. Den har riktat in sig på användare genom kapning av sociala medier, sidladdade appar och appbutiker från tredje part.
Efter den rättsmedicinska utredningen upptäckte Zimperiums zLabs hotforskningsteam oupptäckta appar på mobilen med hjälp av Zimperiums z9 malware-motor. De fastställde att den oupptäckta skadliga programvaran är en del av en trojansk familj som använder social ingenjörsteknik för att kapa Facebook-konton.
Forskarteamet upptäckte bevis som pekar på illvilliga parter i Vietnam som driver denna kapningskampanj för sociala medier sedan mars 2021. Skadlig programvara distribuerades initialt via Google Play Store och tredjepartsapplikationer.
zLabs rapporterade sina resultat till Google, som verifierade informationen och tog bort skadliga appar från Play Butik. Dessa appar är dock fortfarande tillgängliga i appbutiker från tredje part, " belyser risken för sidladdade applikationer till mobila slutpunkter och användardata ", påpekar Zimperium.
zLabs tillhandahöll också en karta som visar fördelningen av FlyTrap-offer i 144 länder.
Distributionskarta för FlyTrap-offer. (Bild: Zimperium)
Vad är FlyTrap Trojan?
FlyTrap trojan inbäddad i applikationer utgör ett hot mot målets sociala identitet genom att kapa deras Facebook-konton genom att injicera skadlig programvara på deras Android-enheter. Den samlar in följande användarinformation om offren:
- Facebook-ID
- E-postadress
- IP-adress
- Plats
- Cookies kopplade till Facebook-kontot
Dessa kapade Facebook-konton kan användas för att sprida skadlig programvara från ett offer till ett annat samt att sprida desinformationskampanjer med hjälp av målets geolokalisering.
Hur fungerar FlyTrap Malware?
Cyberbrottslingarna bakom FlyTrap använder olika tilltalande metoder som gratis Netflix-kuponger, Google AdWords-kuponger och röstar på det bästa fotbollslaget eller spelarna. Till en början lurade applikationen användare att lita på appen och ladda ner den. Efter att ha laddat ner appen engagerade den användaren genom att visa olika sidor eller be dem rösta på det bästa laget eller fler.
(Bild: Zimperium)
Den visar sedan användaren Facebooks legitima inloggningssida och ber dem att logga in på sitt konto för att kunna lägga sin röst och samla in kupongkoden. När användaren loggar in och deltar i den "falska omröstningen", visar den den falska kupongkoden och ett meddelande som säger att "kupongkoden har gått ut", som visas i skärmdumparna nedan:
(Bild: Zimperium)
När användaren har loggat in på sitt Facebook-konto använder skadlig programvara JavaScript-injektion för att kapa mål Facebook-ID, e-postadress, IP-adress och plats genom att använda den skadliga JS-koden.
Kodskärmdump som innehåller den typ av data som kommer att exfiltreras till kommando- och kontrollcenterservern. (Bild: Zimperium)
Manipulering av webbresurser kallas cross-principal manipulation (XPM). För mer information kan du kolla in den här studien, " En empirisk studie av webbresursmanipulation i verkliga mobilapplikationer ." Efter framgångsrik inloggning på Facebook initierar offret dataexfiltreringsprocessen, som kan ses nedan:
FlyTrap-dataexfiltrering pågår. (Bild: Zimperium)
Kommando- och kontrollservern använder sedan Facebook-inloggningsuppgifterna för att komma åt insamlad data. Det värsta är att på grund av säkerhetsbrister i Command and Control-servern kan hela databasen med stulen information exponeras för vem som helst på internet.
Kommando- och kontrollserver som lagrar kapade sessioner. (Bild: Zimperium)
FlyTrap Trojan Android-applikationer
Zimperiums zLab har släppt följande lista över indikatorer på kompromiss som ses i FlyTrap malware Android-applikationer:
Hur skyddar du din Android-enhet?
FlyTrap Trojan är bara ett exempel på de ständigt ökande och utbredda säkerhetshoten som syftar till att stjäla personlig information. En annan ny skadlig programvara riktad mot Android-användare var Joker Malware som också använde Google Play Butik för att infektera enheter.
Zimperiums chef för slutpunktssäkerhet, Richard Melick, sa att Android-användare kan minska risken för infektion genom att blockera installationen av appar från opålitliga resurser i bakgrunden. Detta är också tillgängligt i den senaste säkerhetsuppdateringen för Android.
Om du misstänker att ditt Facebook-konto har äventyrats, logga ut från alla enheter omedelbart. Melik rådde också,
– Sammantaget handlar det om att vara medveten om vad en ansökan efterfrågar. Om du behöver ansluta till dina sociala mediekonton för att få tillgång till en kupong eller deal, pausa och fråga varför. Vad kan sajten/kupongföretaget nu använda dessa uppgifter till?"
För att säkerställa att dina Android-enheter är skyddade från skadlig programvara rekommenderar vi att du använder antivirus-/skadlig programvara och ett VPN för Android. Du kan också få ett VPN som erbjuder en antivirusfunktion, liksom Norton Security, McAfee Safe Connect och mer.