Το FlyTrap malware, μια νέα απειλή για Android, έχει χακάρει Facebook
λογαριασμούς
σε περισσότερες από 140 χώρες, κλέβοντας session cookies.
Τα FlyTrap hacking campaigns βασίζονται σε απλές
social engineering
τακτικές
για να εξαπατήσουν τα θύματα να χρησιμοποιήσουν τους Facebook κωδικούς πρόσβασης για να συνδεθούν σε
κακόβουλες
εφαρμογές
οι οποίες, στη συνέχεια, κλέβουν
δεδομένα
που σχετίζονται με τις συνεδρίες των κοινωνικών μέσων.
Δείτε Ακόμα:
Great Reset και κρυπτονόμισμα –
Τεχνολογία
και Μεγάλη Επαναφορά
Ερευνητές της mobile security εταιρείας Zimperium εντόπισαν το νέο κακόβουλο λογισμικό
και διαπίστωσαν ότι οι κλεμμένες πληροφορίες ήταν προσβάσιμες σε οποιονδήποτε εντόπιζε τον command and control (C2) server του FlyTrap.
Τα FlyTrap hacking campaigns τρέχουν τουλάχιστον από τον Μάρτιο. Ο hacker / hackers χρησιμοποίησε
κακόβουλες
εφαρμογές
με υψηλή ποιότητα σχεδίασης, διανεμημένες μέσω του Google Play και των καταστημάτων Android τρίτων κατασκευαστών.
Το δέλεαρ περιελάμβανε προσφορές για δωρεάν κωδικούς κουπονιών (για Netflix, Google AdWords) και ψηφοφορίες για διάσημες ομάδες ποδοσφαίρου ή ποδοσφαιριστές υψηλής αναγνωρισιμότητας, εν όψει του
UEFA Euro 2020
.
Η λήψη της υποσχόμενης ανταμοιβής απαιτούσε
σύνδεση
στην
εφαρμογή
χρησιμοποιώντας τα διαπιστευτήρια του Facebook, ενώ ο έλεγχος ταυτότητας πραγματοποιείται στο νόμιμο domain των κοινωνικών μέσων.
Δείτε Ακόμα:
Gigabyte
ransomware
επίθεση
: Επηρεάζονται Intel και AMD!
Δεδομένου ότι οι
κακόβουλες
εφαρμογές
χρησιμοποιούν την αυθεντική
υπηρεσία
single sign-on στο Facebook (SSO), δεν μπορούν να συλλέξουν τα διαπιστευτήρια των χρηστών.
Αντ ‘αυτού, το FlyTrap βασίζεται σε JavaScript injection για τη συλλογή άλλων ευαίσθητων δεδομένων.
Χρησιμοποιώντας αυτήν την τεχνική, η
εφαρμογή
ανοίγει το νόμιμο URL μέσα σε ένα WebView που έχει διαμορφωθεί με δυνατότητα εισαγωγής JavaScript code και εξάγει όλες τις απαραίτητες πληροφορίες, όπως cookie, στοιχεία λογαριασμού χρήστη,
τοποθεσία
και
διεύθυνση IP
με JS code injection.
Όλες οι πληροφορίες που συλλέγονται με αυτόν τον τρόπο πηγαίνουν στον C2 server του FlyTrap. Περισσότεροι από 10.000
χρήστες
Android σε 144 χώρες έπεσαν θύματα αυτής της
social engineering
επίθεσης.
Τα στατιστικά στοιχεία με το ποσοστό παραβιασμένων λογαριασμών προέρχονται απευθείας από τον διακομιστή εντολών και ελέγχου, στον οποίο οι ερευνητές μπόρεσαν να έχουν πρόσβαση επειδή
η βάση δεδομένων με τα κλεμμένα Facebook session cookies είναι διαθέσιμη στο
διαδίκτυο
.
Δείτε Ακόμα:
Χάκερς παραβιάζουν routers ιδιωτών – Λίστα με ευάλωτες
συσκευές
Ο Aazim Yaswant της Zimperium σε πρόσφατο blog post του αναφέρει ότι ο C2 server του FlyTrap είχε πολλαπλά τρωτά σημεία
ασφαλείας
που διευκόλυναν την πρόσβαση στις αποθηκευμένες πληροφορίες.
Ο ερευνητής σημειώνει ότι οι
λογαριασμοί
σε
πλατφόρμες
κοινωνικής δικτύωσης αποτελούν κοινό στόχο για hackers, οι οποίοι μπορούν να τους χρησιμοποιήσουν για παράνομες ενέργειες, όπως η αύξηση της δημοτικότητας σελίδων, ιστότοπων, προϊόντων, παραπληροφόρησης ή πολιτικού μηνύματος.
Επίσης, τονίζει ότι τα phishing pages που κλέβουν διαπιστευτήρια δεν είναι ο μόνος τρόπος για να συνδεθείτε στο
λογαριασμό
μιας διαδικτυακής υπηρεσίας. Η
σύνδεση
στο νόμιμο domain μπορεί επίσης να συνεπάγεται κινδύνους.
«Τα γραφικά υψηλής ποιότητας και οι οθόνες σύνδεσης με επίσημη εμφάνιση είναι συνηθισμένες
τακτικές
για να κάνουν τους
χρήστες
να “πέσουν στην παγίδα” και να προσφέρουν απλόχερα εν αγνοία τους ευαίσθητες πληροφορίες. Σε αυτήν την περίπτωση, ενώ ο χρήστης συνδέεται στον επίσημο
λογαριασμό
του, το FlyTrap Trojan κάνει hijack τις πληροφορίες του session»,
τόνισε ο Aazim Yaswant,
Android malware
researcher, Zimperium
Παρά το γεγονός ότι δεν βασίστηκε σε κάποια νέα τεχνική, το FlyTrap κατάφερε να χακάρει σημαντικό αριθμό λογαριασμών στο Facebook.
Με μερικές τροποποιήσεις, θα μπορούσε να μετατραπεί σε επικίνδυνη απειλή για φορητές
συσκευές
.
Πηγή πληροφοριών: bleepingcomputer.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.