Το FlyTrap malware, μια νέα απειλή για Android, έχει χακάρει Facebook λογαριασμούς σε περισσότερες από 140 χώρες, κλέβοντας session cookies.
Τα FlyTrap hacking campaigns βασίζονται σε απλές social engineering τακτικές για να εξαπατήσουν τα θύματα να χρησιμοποιήσουν τους Facebook κωδικούς πρόσβασης για να συνδεθούν σε κακόβουλες εφαρμογές οι οποίες, στη συνέχεια, κλέβουν δεδομένα που σχετίζονται με τις συνεδρίες των κοινωνικών μέσων.
Δείτε Ακόμα: Great Reset και κρυπτονόμισμα – Τεχνολογία και Μεγάλη Επαναφορά
Ερευνητές της mobile security εταιρείας Zimperium εντόπισαν το νέο κακόβουλο λογισμικό και διαπίστωσαν ότι οι κλεμμένες πληροφορίες ήταν προσβάσιμες σε οποιονδήποτε εντόπιζε τον command and control (C2) server του FlyTrap.
Τα FlyTrap hacking campaigns τρέχουν τουλάχιστον από τον Μάρτιο. Ο hacker / hackers χρησιμοποίησε κακόβουλες εφαρμογές με υψηλή ποιότητα σχεδίασης, διανεμημένες μέσω του Google Play και των καταστημάτων Android τρίτων κατασκευαστών.
Το δέλεαρ περιελάμβανε προσφορές για δωρεάν κωδικούς κουπονιών (για Netflix, Google AdWords) και ψηφοφορίες για διάσημες ομάδες ποδοσφαίρου ή ποδοσφαιριστές υψηλής αναγνωρισιμότητας, εν όψει του UEFA Euro 2020.
Η λήψη της υποσχόμενης ανταμοιβής απαιτούσε σύνδεση στην εφαρμογή χρησιμοποιώντας τα διαπιστευτήρια του Facebook, ενώ ο έλεγχος ταυτότητας πραγματοποιείται στο νόμιμο domain των κοινωνικών μέσων.
Δείτε Ακόμα: Gigabyte ransomware επίθεση: Επηρεάζονται Intel και AMD!
Δεδομένου ότι οι κακόβουλες εφαρμογές χρησιμοποιούν την αυθεντική υπηρεσία single sign-on στο Facebook (SSO), δεν μπορούν να συλλέξουν τα διαπιστευτήρια των χρηστών. Αντ ‘αυτού, το FlyTrap βασίζεται σε JavaScript injection για τη συλλογή άλλων ευαίσθητων δεδομένων.
Χρησιμοποιώντας αυτήν την τεχνική, η εφαρμογή ανοίγει το νόμιμο URL μέσα σε ένα WebView που έχει διαμορφωθεί με δυνατότητα εισαγωγής JavaScript code και εξάγει όλες τις απαραίτητες πληροφορίες, όπως cookie, στοιχεία λογαριασμού χρήστη, τοποθεσία και διεύθυνση IP με JS code injection.
Όλες οι πληροφορίες που συλλέγονται με αυτόν τον τρόπο πηγαίνουν στον C2 server του FlyTrap. Περισσότεροι από 10.000 χρήστες Android σε 144 χώρες έπεσαν θύματα αυτής της social engineering επίθεσης.
Τα στατιστικά στοιχεία με το ποσοστό παραβιασμένων λογαριασμών προέρχονται απευθείας από τον διακομιστή εντολών και ελέγχου, στον οποίο οι ερευνητές μπόρεσαν να έχουν πρόσβαση επειδή η βάση δεδομένων με τα κλεμμένα Facebook session cookies είναι διαθέσιμη στο διαδίκτυο.
Δείτε Ακόμα: Χάκερς παραβιάζουν routers ιδιωτών – Λίστα με ευάλωτες συσκευές
Ο Aazim Yaswant της Zimperium σε πρόσφατο blog post του αναφέρει ότι ο C2 server του FlyTrap είχε πολλαπλά τρωτά σημεία ασφαλείας που διευκόλυναν την πρόσβαση στις αποθηκευμένες πληροφορίες.
Ο ερευνητής σημειώνει ότι οι λογαριασμοί σε πλατφόρμες κοινωνικής δικτύωσης αποτελούν κοινό στόχο για hackers, οι οποίοι μπορούν να τους χρησιμοποιήσουν για παράνομες ενέργειες, όπως η αύξηση της δημοτικότητας σελίδων, ιστότοπων, προϊόντων, παραπληροφόρησης ή πολιτικού μηνύματος.
Επίσης, τονίζει ότι τα phishing pages που κλέβουν διαπιστευτήρια δεν είναι ο μόνος τρόπος για να συνδεθείτε στο λογαριασμό μιας διαδικτυακής υπηρεσίας. Η σύνδεση στο νόμιμο domain μπορεί επίσης να συνεπάγεται κινδύνους.
«Τα γραφικά υψηλής ποιότητας και οι οθόνες σύνδεσης με επίσημη εμφάνιση είναι συνηθισμένες τακτικές για να κάνουν τους χρήστες να “πέσουν στην παγίδα” και να προσφέρουν απλόχερα εν αγνοία τους ευαίσθητες πληροφορίες. Σε αυτήν την περίπτωση, ενώ ο χρήστης συνδέεται στον επίσημο λογαριασμό του, το FlyTrap Trojan κάνει hijack τις πληροφορίες του session», τόνισε ο Aazim Yaswant, Android malware researcher, Zimperium
Παρά το γεγονός ότι δεν βασίστηκε σε κάποια νέα τεχνική, το FlyTrap κατάφερε να χακάρει σημαντικό αριθμό λογαριασμών στο Facebook. Με μερικές τροποποιήσεις, θα μπορούσε να μετατραπεί σε επικίνδυνη απειλή για φορητές συσκευές.
Πηγή πληροφοριών: bleepingcomputer.com
