Новое вредоносное ПО FlyTrap для Android поразило тысячи устройств

Исследователи мобильной безопасности обнаружили новое распространяющееся мобильное вредоносное ПО. Вредоносная программа получила название FlyTrap и поражает устройства Android.

По имеющимся данным, FlyTrap был установлен на более чем 10 тысячах устройств, жертвами которых стали почти 150 стран по всему миру. Отчет с подробным описанием вредоносной программы поступил от zLabs - филиала компании Zimperium, занимающейся мобильной безопасностью.

Вредоносное ПО было обнаружено как в приложениях, которые были в магазине Google Play, так и в хранилищах сторонних приложений. Зараженные пакеты приложений были немедленно удалены из Play Store после уведомления zLabs, отправленного в Google. Любопытно, что исследователи проследили происхождение мобильного вредоносного ПО до группы злоумышленников, базирующихся в южной Азии, в частности, во Вьетнаме.

Вредоносная программа действует как троянец и использует узнаваемые приемы социальной инженерии для захвата аккаунтов Facebook. Принцип работы FlyTrap заключается в том, что он отображает невинно выглядящую рекламу во вредоносных приложениях, включая рекламу купонов или безобидно выглядящие игры с голосованием и опросы. Исследователи также отметили, что все баннеры и кнопки, связанные с вредоносным ПО, были созданы в соответствии с высокими визуальными стандартами и стандартами качества, что повышает надежность схемы.

Кнопки и ссылки предлагают пользователям войти в свои учетные записи Facebook, в то время как FlyTrap перехватывает ввод информации и, по сути, получает доступ к учетной записи.

Последняя любопытная деталь о вредоносной кампании заключается в том, что даже после того, как жертвы передают хакерам свои учетные данные Facebook, приложения отображают последнее сообщение, в котором говорится, что срок действия поддельного купона Netflix или другой висячей приманки истек. Это, вероятно, добавляет дополнительную фальшивую легитимность всей кампании.

Что еще хуже, исследователи обнаружили, что серверы, которые используют злоумышленники, стоящие за FlyTrap, неправильно настроены и могут быть взломаны и раскрыть все украденные учетные записи и учетные данные другим злоумышленникам или «любому в Интернете».

Вот список имен приложений и связанных доменов, которые, как известно, содержат FlyTrap, опубликованный zLabs:

Ваучер GG (com.luxcarad.cardid)

Голосуйте за европейский футбол (com.gardenguides.plantingfree)

Реклама купонов GG (com.free_coupon.gg_free_coupon)

Реклама ваучера GG (com.m_application.app_moi_6)

Ваучер GG (com.free.voucher)

Chatfuel (com.ynsuper.chatfuel)

Чистый купон (com.free_coupon.net_coupon)

Чистый купон (com.movie.net_coupon)

Официальный ЕВРО-2021 (com.euro2021)