Nowe złośliwe oprogramowanie FlyTrap na Androida atakuje tysiące urządzeń

Badacze bezpieczeństwa mobilnego odkryli nowe mobilne złośliwe oprogramowanie, które krąży. Złośliwe oprogramowanie zostało nazwane FlyTrap i atakuje urządzenia z systemem Android.

Według doniesień na ponad 10 tysiącach urządzeń wdrożono FlyTrap, a ofiary w prawie 150 różnych krajach na całym świecie. Raport szczegółowo opisujący szkodliwe oprogramowanie pochodzi z zLabs - oddziału firmy Zimperium zajmującej się bezpieczeństwem mobilnym.

Złośliwe oprogramowanie zostało wykryte zarówno w aplikacjach znajdujących się w sklepie Google Play, jak i w magazynach aplikacji innych firm. Zainfekowane pakiety aplikacji zostały natychmiast usunięte ze Sklepu Play po powiadomieniu zLabs wysłanym do Google. Co ciekawe, badacze prześledzili mobilne szkodliwe oprogramowanie z powrotem do grupy złych przestępców z południowej Azji, a konkretnie z Wietnamu.

Szkodnik działa jak trojan i wykorzystuje rozpoznawalne sztuczki socjotechniczne w celu przejęcia konta na Facebooku. Sposób działania FlyTrap polega na wyświetlaniu niewinnie wyglądających reklam w złośliwych aplikacjach, w tym reklam kuponów lub niewinnie wyglądających gier głosowania i ankiet. Badacze zauważyli również, że wszystkie banery i przyciski związane ze złośliwym oprogramowaniem zostały wyprodukowane zgodnie z wysokimi standardami wizualnymi i jakościowymi, co dodatkowo zwiększa wiarygodność schematu.

Przyciski i linki proszą użytkowników o zalogowanie się na swoje konta na Facebooku, podczas gdy FlyTrap przechwytuje wprowadzane informacje i zasadniczo uzyskuje dostęp do konta.

Ostatnim ciekawym szczegółem na temat złośliwej kampanii jest to, że nawet po tym, jak ofiary podadzą hakerom swoje dane uwierzytelniające do Facebooka, aplikacje wyświetlają ostatnią wiadomość, że fałszywy kupon Netflix lub inna zwisająca przynęta wygasła. To prawdopodobnie dodaje kolejną krawędź fałszywej legitymizacji całej kampanii.

Co gorsza, naukowcy odkryli, że serwery, z których korzystają źli aktorzy stojący za FlyTrap, są źle skonfigurowane i mogą zostać włamane i ujawnić wszystkie skradzione konta i dane uwierzytelniające innym cyberprzestępcom lub „każdemu w Internecie”.

Oto lista nazw aplikacji i powiązanych domen, o których wiadomo, że zawierają FlyTrap, opublikowaną przez zLabs:

Kupon GG (com.luxcarad.cardid)

Głosuj na europejską piłkę nożną (com.gardenguides.plantingfree)

Reklamy kuponowe GG (com.free_coupon.gg_free_coupon)

Reklamy z kuponami GG (com.m_application.app_moi_6)

Kupon GG (com.free.voucher)

Chatfuel (com.ynsuper.chatfuel)

Kupon netto (com.free_coupon.net_coupon)

Kupon netto (com.movie.net_coupon)

Urzędnik EURO 2021 (com.euro2021)