Il nuovo malware FlyTrap per Android colpisce migliaia di dispositivi

I ricercatori di sicurezza mobile hanno scoperto un nuovo malware mobile che sta facendo il giro. Il malware è stato soprannominato FlyTrap e colpisce i dispositivi Android.

Secondo i rapporti, oltre 10mila dispositivi hanno installato FlyTrap su di essi, con vittime in quasi 150 paesi diversi in tutto il mondo. Il rapporto che descrive in dettaglio il malware proviene da zLabs, una filiale della società di sicurezza mobile Zimperium.

Il malware è stato individuato in entrambe le applicazioni presenti sul Google Play Store e nei depositi di app di terze parti. I pacchetti di app infette sono stati prontamente rimossi dal Play Store, a seguito della notifica di zLabs inviata a Google. Curiosamente, i ricercatori hanno fatto risalire il malware mobile a un gruppo di malintenzionati con sede nell'Asia meridionale, in particolare in Vietnam.

Il malware agisce come un trojan e utilizza trucchi di ingegneria sociale riconoscibili per ottenere il controllo dell'account Facebook. Il modo in cui funziona FlyTrap è che visualizza annunci dall'aspetto innocente nelle app dannose, inclusi annunci per coupon o giochi di voto e sondaggi dall'aspetto innocuo. I ricercatori hanno anche notato che tutti i banner e i pulsanti relativi al malware sono stati prodotti secondo un elevato standard visivo e di qualità, conferendo ulteriore credibilità allo schema.

I pulsanti e i collegamenti chiedono agli utenti di accedere ai propri account Facebook, mentre FlyTrap dirotta l'input delle informazioni e sostanzialmente ottiene l'accesso all'account.

Un ultimo dettaglio curioso sulla campagna dannosa è che anche dopo che le vittime hanno fornito le proprie credenziali di Facebook agli hacker, le app visualizzano un ultimo messaggio, dicendo che il falso coupon Netflix o un'altra esca penzolante è scaduta. Questo probabilmente aggiunge un ulteriore vantaggio di falsa legittimità all'intera campagna.

A peggiorare le cose, i ricercatori hanno scoperto che i server utilizzati dai malintenzionati dietro FlyTrap sono configurati in modo errato e possono essere violati ed esporre tutti gli account e le credenziali rubati ad altri attori delle minacce o "chiunque su Internet".

Ecco un elenco di nomi di applicazioni e domini associati noti per contenere FlyTrap, come pubblicato da zLabs:

Buono GG (com.luxcarad.cardid)

Vota il calcio europeo (com.gardenguides.plantingfree)

Annunci coupon GG (com.free_coupon.gg_free_coupon)

Annunci voucher GG (com.m_application.app_moi_6)

Buono GG (com.free.voucher)

Chatfuel (com.ynsuper.chatfuel)

Buono netto (com.free_coupon.net_coupon)

Coupon netto (com.movie.net_coupon)

Ufficiale EURO 2021 (com.euro2021)