FlyTrap зловмисне програмне забезпечення Android захоплює тисячі облікових записів Facebook
Нове зловмисне програмне забезпечення Android з кодовою назвою FlyTrap захопило понад 10 000 облікових записів у соціальних мережах у 140 країнах з березня 2021 року. Воно було націлено на користувачів через викрадення соціальних мереж, сторонні програми та сторонні магазини додатків.
Після судово-медичного розслідування команда Zimperium zLab з дослідження загроз виявила невиявлені додатки на мобільних пристроях за допомогою зловмисного механізму Zimperium z9. Вони визначили, що невиявлене зловмисне програмне забезпечення є частиною сімейства троянів, яке використовує методи соціальної інженерії для злому облікових записів Facebook.
Дослідницька група виявила докази, які вказують на те, що зловмисники у В'єтнамі ведуть цю кампанію із захоплення соціальних мереж з березня 2021 року. Спочатку зловмисне програмне забезпечення поширювалося через Google Play Store і сторонні програми.
zLabs повідомила про свої висновки Google, який перевірив інформацію та видалив шкідливі програми з Play Store. Однак ці програми все ще доступні в сторонніх магазинах додатків, що «підкреслює ризик побічного завантаження додатків на мобільні кінцеві точки та дані користувачів », – зазначає Zimperium.
zLabs також надала карту, що показує розподіл жертв FlyTrap у 144 країнах.
Карта розповсюдження жертв FlyTrap. (Зображення: Zimperium)
Що таке троян FlyTrap?
Троян FlyTrap, вбудований у програми, створює загрозу для соціальної ідентичності цілі, захоплюючи їхні облікові записи Facebook, впроваджуючи шкідливе програмне забезпечення на їхні пристрої Android. Він збирає таку інформацію про потерпілих:
- Facebook ID
- Адреса електронної пошти
- IP-адреса
- Розташування
- Файли cookie, пов’язані з обліковим записом Facebook
Ці викрадені облікові записи Facebook можна використовувати для поширення зловмисного програмного забезпечення від однієї жертви до іншої, а також для поширення дезінформаційних кампаній за допомогою геолокації цілі.
Як працює шкідливе програмне забезпечення FlyTrap?
Кіберзлочинці, які стоять за FlyTrap, використовують різні привабливі методи, такі як безкоштовні купони Netflix, купони Google AdWords і голосування за найкращу футбольну команду або гравців. Спочатку програма обманом змусила користувачів довіритися додатку та завантажити його. Після завантаження програми вона залучала користувача, показуючи різні сторінки або пропонуючи їм проголосувати за найкращу команду або більше.
(Зображення: Zimperium)
Потім він показує легітимну сторінку входу користувача Facebook і просить увійти до свого облікового запису, щоб мати можливість віддати свій голос і отримати код купона. Після того, як користувач увійде в систему та бере участь у «фальшивому голосуванні», він відображає фальшивий код купона та повідомлення про те, що «код купона закінчився», як показано на знімках екрана нижче:
(Зображення: Zimperium)
Після того, як користувач входить у свій обліковий запис Facebook, зловмисне програмне забезпечення використовує ін’єкцію JavaScript, щоб захопити ідентифікатор Facebook, адресу електронної пошти, IP-адресу та місцезнаходження за допомогою шкідливого коду JS.
Знімок екрана коду, що містить тип даних, які будуть ексфільтровані на сервер Центру командування та керування. (Зображення: Zimperium)
Маніпулювання веб-ресурсами називається міжпринципальними маніпуляціями (XPM). Для отримання додаткової інформації ви можете переглянути це дослідження «Емпіричне дослідження маніпулювання веб-ресурсами в реальних мобільних додатках ». Після успішного входу до Facebook жертва починає процес ексфільтрації даних, як показано нижче:
Триває вилучення даних FlyTrap. (Зображення: Zimperium)
Після цього сервер командування та керування використовує облікові дані Facebook для доступу до зібраних даних. Найгіршим є те, що через вразливості безпеки на сервері командування та керування вся база даних викраденої інформації може бути відкрита будь-кому в Інтернеті.
Сервер команд і керування, який зберігає захоплені сеанси. (Зображення: Zimperium)
FlyTrap Trojan Програми для Android
Zimperium's zLab оприлюднила наступний список індикаторів компромісу, які можна побачити в програмах FlyTrap для Android:
Як захистити свій Android-пристрій?
Троян FlyTrap є лише одним із прикладів постійно зростаючих і поширених загроз безпеки, спрямованих на крадіжку особистої інформації. Ще одним недавнім зловмисним програмним забезпеченням, націленим на користувачів Android, було зловмисне програмне забезпечення Joker, яке також використовувало Google Play Store для зараження пристроїв.
Директор із безпеки кінцевих точок Zimperium Річард Мелік сказав, що користувачі Android можуть зменшити ймовірність зараження, блокуючи встановлення додатків із ненадійних ресурсів у фоновому режимі. Це також доступне в останньому оновленні безпеки Android.
Якщо ви підозрюєте, що ваш обліковий запис Facebook зламано, негайно вийдіть з усіх пристроїв. Мелік також порадив,
«Загалом мова йде про те, щоб знати, що вимагає програма. Якщо вам потрібно підключитися до своїх облікових записів у соціальних мережах, щоб отримати доступ до купона або угоди, призупиніть і запитайте, чому. Для чого тепер компанія-сайт/купон може використовувати ці дані?»
Щоб переконатися, що ваші пристрої Android захищені від шкідливого програмного забезпечення, ми рекомендуємо використовувати антивірусне/зловмисне програмне забезпечення та VPN для Android. Ви також можете отримати VPN, який пропонує антивірусну функцію, а також Norton Security, McAfee Safe Connect тощо.