Android-вредонос FlyTrap взломал тысячи страниц в Facebook

Android-вредонос FlyTrap взломал тысячи страниц в Facebook

Жертвами FlyTrap уже стали более 10 тыс. пользователей в 140 странах мира.

image

Специалисты ИБ-компании Zimperium обнаружили новую вредоносную кампанию, нацеленную на пользователей Android. В ходе кампании используется вредоносное ПО FlyTrap, взламывающее учетные записи Facebook путем похищения cookie-файлов сеанса. Жертвами вредоноса уже стали более 10 тыс. пользователей в 140 странах мира.

Кампания FlyTrap основывается на простых методах социальной инженерии. Злоумышленники обманом заставляют жертв авторизоваться в вредоносном приложении с использованием учетных данных для авторизации в Facebook. В свою очередь, приложение собирает данные, связанные с сеансом. Как выяснили специалисты Zimperium, эти данные были доступны каждому, кто обнаружит C&C-сервер FlyTrap.

Кампания FlyTrap началась как минимум с марта 2021 года. Для обмана жертв злоумышленники используют высококачественные вредоносные приложения, распространяемые через Google Play и сторонние магазины Android-приложений.

Мошенники предлагают потенциальным жертвам бесплатные коды для Netflix и Google AdWords за участие в голосовании, в котором нужно проголосовать за свою любимую футбольную команду или игрока. Для того чтобы получить обещанное вознаграждение, жертва должна авторизоваться в приложении с помощью учетных данных Facebook.

Поскольку вредоносное приложение использует настоящий сервис единого входа (SSO) Facebook, оно не может собирать учетные данные пользователей. Вместо этого с помощью внедрения JavaScript-кода FlyTrap собирает другие важные данные.

Как пояснили исследователи, приложение открывает в Android-компоненте WebView легитимный URL, сконфигурированный таким образом, чтобы внедрять JavaScript-код и извлекать всю необходимую информацию, такую как cookie-файлы, данные учетной записи пользователя, местоположение и IP-адреса. Вся полученная информация отправляется на C&C-сервер FlyTrap.

Как сообщили специалист Zimperium Аазим Ясвант (Aazim Yaswant), C&C-сервер подвержен множественным уязвимостям, открывающим доступ к хранящейся на нем информации.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!