Neue FlyTrap-Android-Malware befällt Tausende von Geräten

Forscher für mobile Sicherheit haben eine neue mobile Malware entdeckt, die die Runde macht. Die Malware wurde FlyTrap genannt und betrifft Android-Geräte.

Berichten zufolge wurden auf über 10.000 Geräten FlyTrap eingesetzt, mit Opfern in fast 150 verschiedenen Ländern auf der ganzen Welt. Der Bericht über die Malware stammt von zLabs - einem Ableger des mobilen Sicherheitsunternehmens Zimperium.

Die Malware wurde sowohl in Anwendungen im Google Play Store als auch in App-Depots von Drittanbietern entdeckt. Die infizierten App-Pakete wurden nach der Benachrichtigung von zLabs an Google umgehend aus dem Play Store entfernt. Seltsamerweise haben Forscher die mobile Malware auf eine Gruppe bösartiger Akteure mit Sitz in Südasien, insbesondere in Vietnam, zurückgeführt.

Die Malware agiert als Trojaner und nutzt erkennbare Social-Engineering-Tricks, um Übernahmen von Facebook-Konten durchzuführen. FlyTrap funktioniert so, dass harmlos aussehende Anzeigen in den schädlichen Apps angezeigt werden, einschließlich Anzeigen für Coupons oder harmlos aussehende Abstimmungsspiele und Umfragen. Die Forscher stellten auch fest, dass alle Banner und Schaltflächen im Zusammenhang mit der Malware nach einem hohen visuellen und qualitativen Standard erstellt wurden, was dem Programm weitere Glaubwürdigkeit verleiht.

Die Schaltflächen und Links fordern die Benutzer auf, sich bei ihren Facebook-Konten anzumelden, während FlyTrap die Informationseingabe kapert und im Wesentlichen Zugriff auf das Konto erhält.

Ein letztes merkwürdiges Detail der bösartigen Kampagne ist, dass die Apps selbst nachdem die Opfer ihre Facebook-Anmeldeinformationen an die Hacker weitergegeben haben, eine letzte Nachricht anzeigen, die besagt, dass der gefälschte Netflix-Coupon oder andere baumelnde Köder jetzt abgelaufen sind. Dies fügt der gesamten Kampagne wahrscheinlich einen weiteren Vorteil gefälschter Legitimität hinzu.

Erschwerend kommt hinzu, dass die Forscher entdeckten, dass die Server, die die bösartigen Akteure hinter FlyTrap verwenden, falsch konfiguriert sind und in alle gestohlenen Konten und Zugangsdaten gehackt werden können und alle gestohlenen Konten und Zugangsdaten anderen Bedrohungsakteuren oder "jedem im Internet" zugänglich gemacht werden.

Hier ist eine Liste von Anwendungsnamen und zugehörigen Domänen, von denen bekannt ist, dass sie FlyTrap enthalten, wie von zLabs veröffentlicht:

GG-Gutschein (com.luxcarad.cardid)

Vote European Football (com.gardenguides.plantingfree)

GG Coupon-Anzeigen (com.free_coupon.gg_free_coupon)

GG-Gutscheinanzeigen (com.m_application.app_moi_6)

GG-Gutschein (com.free.voucher)

Chatfuel (com.ynsuper.chatfuel)

Netto-Gutschein (com.free_coupon.net_coupon)

Netto-Gutschein (com.movie.net_coupon)

EURO 2021 Offiziell (com.euro2021)