Foi descoberto que o novo cavalo de Tróia Android compromete contas do Facebook de mais de 10.000 usuários em pelo menos 144 países desde março de 2021 por meio de aplicativos fraudulentos distribuídos por meio da Google Play Store e outros mercados de aplicativos de terceiros.
Apelidado de "FlyTrap,
"Acredita-se que o malware anteriormente não documentado faça parte de uma família de trojans que empregam truques de engenharia social para violar contas do Facebook como parte de uma campanha de sequestro de sessão orquestrada por agentes mal-intencionados operando fora do Vietnã, de acordo com um relatório publicado pela zLabs da Zimperium hoje e compartilhado com The Hacker News.
Embora os nove aplicativos ofensivos tenham sido retirados do Google Play, eles continuam disponíveis em lojas de aplicativos de terceiros, "destacando o risco de aplicativos transferidos para terminais móveis e dados do usuário", disse o pesquisador de malware da Zimperium, Aazim Yaswant. A lista de aplicativos é a seguinte -
- GG Voucher (com.luxcarad.cardid)
- Vote European Football (com.gardenguides.plantingfree)
- GG Coupon Ads (com.free_coupon.gg_free_coupon)
- GG Voucher Ads (com.m_application.app_moi_6)
- GG Voucher (com.free.voucher)
- Chatfuel (com.ynsuper.chatfuel)
- Net Coupon (com.free_coupon.net_coupon)
- Net Coupon (com.movie.net_coupon)
- EURO 2021 Official (com.euro2021)
Os aplicativos maliciosos afirmam oferecer códigos de cupom do Netflix e do Google AdWords e permitir que os usuários votem em seus times e jogadores favoritos no UEFA EURO 2020, que aconteceu entre 11 de junho e 11 de julho de 2021, apenas com a condição de que façam login com suas contas do Facebook para votar, ou coletar o código do cupom ou créditos.
Depois que um usuário faz login na conta, o malware é equipado para roubar o ID do Facebook da vítima, localização, endereço de e-mail, endereço IP e os cookies e tokens associados à conta do Facebook,
permitindo, assim, que o agente da ameaça execute campanhas de desinformação usando os detalhes de geolocalização da vítima ou propague o malware por meio de técnicas de engenharia social, enviando mensagens pessoais contendo links para o trojan.
Isso é conseguido usando uma técnica chamada injeção de JavaScript,
em que "o aplicativo abre a URL legítima dentro de um WebView configurado com a capacidade de injetar código JavaScript e extrai todas as informações necessárias, como cookies, detalhes da conta do usuário, localização e endereço IP, injetando código [JavaScript] malicioso", explicou Yaswant .
Embora os dados exfiltrados sejam hospedados em uma infraestrutura de comando e controle (C2), as falhas de segurança encontradas no servidor C2 podem ser exploradas para expor todo o banco de dados de cookies de sessão roubados a qualquer pessoa na Internet, colocando assim as vítimas em maior risco .
“Os agentes mal-intencionados estão aproveitando os conceitos errados dos usuários de que o login no domínio correto é sempre seguro, independentemente do aplicativo usado para fazer o login”, disse Yashwant.
"Os domínios direcionados são plataformas de mídia social populares e esta campanha tem sido excepcionalmente eficaz na coleta de dados de sessão de mídia social de usuários de 144 países. Essas contas podem ser usadas como botnet para diferentes fins: para aumentar a popularidade de páginas / sites / produtos para espalhar desinformação ou propaganda política. "
