Νέο malware σε Android σπάει χιλιάδες λογαριασμούς Facebook!
Ένα νέο trojan για Android βρέθηκε να θέτει σε κίνδυνο λογαριασμούς Facebook περισσότερων από 10.000 χρηστών σε τουλάχιστον 144 χώρες από τον Μάρτιο του 2021 μέσω παράνομων εφαρμογών που διανέμονται μέσω του Google Play Store και άλλων τρίτων εφαρμογών.
Με το όνομα “FlyTrap”, το προηγουμένως μη καταχωρημένο κακόβουλο λογισμικό πιστεύεται ότι είναι μέρος μιας οικογένειας trojan που χρησιμοποιούν τεχνικές κοινωνικής μηχανικής για να παραβιάσουν τους λογαριασμούς Facebook στο πλαίσιο μιας πειρατικής εκστρατείας που ενορχηστρώθηκε από τους επιτιθέμενους που λειτουργούν εκτός Βιετνάμ.
Παρόλο που οι εννέα εφαρμογές έχουν αφαιρεθεί από το Google Play, εξακολουθούν να είναι διαθέσιμες σε καταστήματα εφαρμογών τρίτων κατασκευαστών, “υπογραμμίζοντας τον κίνδυνο sideloaded εφαρμογών σε τελικά σημεία κινητών και δεδομένa χρηστών”, δήλωσε ο ερευνητής κακόβουλου λογισμικού Zimperium, Aazim Yaswant.
Η λίστα των εφαρμογών έχει ως εξής –
- GG Voucher (com.luxcarad.cardid)
- Vote European Football (com.gardenguides.plantingfree)
- GG Coupon Ads (com.free_coupon.gg_free_coupon)
- GG Voucher Ads (com.m_application.app_moi_6)
- GG Voucher (com.free.voucher)
- Chatfuel (com.ynsuper.chatfuel)
- Net Coupon (com.free_coupon.net_coupon)
- Net Coupon (com.movie.net_coupon)
- EURO 2021 Official (com.euro2021)
Οι κακόβουλες εφαρμογές ισχυρίζονται ότι προσφέρουν κωδικούς κουπονιών Netflix και Google AdWords και επιτρέπουν στους χρήστες να ψηφίζουν τις αγαπημένες τους ομάδες και παίκτες στο UEFA EURO 2020, που πραγματοποιήθηκε μεταξύ 11 Ιουνίου και 11 Ιουλίου 2021, με την προϋπόθεση ότι θα συνδεθούν με τους λογαριασμούς τους στο Facebook να ψηφίσουν ή για να συλλέξουν τον κωδικό κουπονιού ή credits.
Μόλις ένας χρήστης συνδεθεί στο λογαριασμό, το κακόβουλο λογισμικό είναι ικανό να κλέψει το Facebook ID του θύματος, τη θέση, τη διεύθυνση ηλεκτρονικού ταχυδρομείου, τη διεύθυνση IP και τα cookie όπως και τα tokens που σχετίζονται με τον λογαριασμό του Facebook, επιτρέποντας έτσι στην εφαρμογή να πραγματοποιήσει καμπάνιες παραπληροφόρησης χρησιμοποιώντας λεπτομέρειες γεωγραφικής τοποθεσίας του θύματος ή το κακόβουλο λογισμικό μέσω τεχνικών κοινωνικής μηχανικής, να στέλνει προσωπικά μηνύματα που περιέχουν συνδέσμους προς το trojan.
“Οι κακόβουλοι φορείς απειλής αξιοποιούν τα κοινά λάθη των χρηστών ότι δηλαδή η σύνδεση στον σωστό domain είναι πάντα ασφαλής ανεξάρτητα από την εφαρμογή που χρησιμοποιείται για τη σύνδεση”, δήλωσε ο Yaswant. “Τα στοχευμένα domain είναι δημοφιλείς πλατφόρμες κοινωνικών μέσων και αυτή η καμπάνια ήταν εξαιρετικά αποτελεσματική στη συλλογή δεδομένων των χρηστών από 144 χώρες. Αυτοί οι λογαριασμοί μπορούν να χρησιμοποιηθούν ως botnet για διαφορετικούς σκοπούς: από την αύξηση της δημοτικότητας των σελίδων/ιστότοπων/προϊόντων στη διάδοση παραπληροφόρησης ή πολιτικής προπαγάνδας».
