Вредоносное ПО FlyTrap захватывает тысячи учетных записей Facebook

73
Facebook позволяет правительству Казахстана напрямую отмечать вредоносный контент, говорится в совместном заявлении

Новая угроза для Android, которую исследователи называют FlyTrap, заключается в захвате учетных записей Facebook пользователей в более чем 140 странах путем кражи файлов cookie сеанса.

Кампании FlyTrap основаны на простой тактике социальной инженерии, чтобы обманом заставить жертв использовать свои учетные данные Facebook для входа во вредоносные приложения, которые собирали данные, связанные с сеансом в социальных сетях.

Исследователи компании Zimperium, занимающейся мобильной безопасностью, обнаружили новое вредоносное ПО и обнаружили, что украденная информация была доступна любому, кто обнаружил сервер управления и контроля (C2) FlyTrap.

Соблазнение качественными приложениями

Кампании FlyTrap проводятся как минимум с марта. Злоумышленник использовал вредоносные приложения с качественным дизайном, распространяемые через Google Play и сторонние магазины Android.

Приманка состояла из предложений бесплатных кодов купонов (для Netflix, Google AdWords) и голосования за любимую футбольную команду или игрока в соответствии с отложенным соревнованием Евро-2020.

Для получения обещанного вознаграждения необходимо войти в приложение с использованием учетных данных Facebook, а аутентификация происходит в законном домене социальной сети.

Поскольку вредоносные приложения используют настоящую службу единого входа (SSO) Facebook, они не могут собирать учетные данные пользователей. Вместо этого FlyTrap использует инъекцию JavaScript для сбора других конфиденциальных данных.

«Используя этот метод, приложение открывает законный URL-адрес внутри WebView, настроенного с возможностью внедрения кода JavaScript, и извлекает всю необходимую информацию, такую ​​как файлы cookie , данные учетной записи пользователя , местоположение и IP-адрес, путем внедрения вредоносного кода JS».

Вся собранная таким образом информация поступает на сервер FlyTrap C2. Жертвами этой социальной инженерии стали более 10 000 пользователей Android в 144 странах.

Цифры поступают прямо с сервера управления и контроля, к которому исследователи смогли получить доступ, потому что база данных с украденными куки-файлами сеанса Facebook была открыта для всех в Интернете.

Азим Ясвант из Zimperium сообщил сегодня в блоге, что на сервере C2 FlyTrap было множество уязвимостей, которые облегчили доступ к хранимой информации.

Исследователь отмечает, что учетные записи на платформах социальных сетей являются частой целью для злоумышленников, которые могут использовать их в мошеннических целях, таких как искусственное повышение популярности страниц, сайтов, продуктов, дезинформации или политического послания.

Он подчеркивает тот факт, что фишинговые страницы, ворующие учетные данные, — не единственный способ войти в учетную запись онлайн-службы. Вход в законный домен также может быть сопряжен с риском.

«Как и любые другие манипуляции со стороны пользователя, высококачественная графика и официальные экраны входа в систему — это обычная тактика, побуждающая пользователей предпринимать действия, которые могут раскрыть конфиденциальную информацию. В этом случае, когда пользователь входит в свою официальную учетную запись, троянец FlyTrap захватывает информацию о сеансе со злым умыслом », — Азим Ясвант , исследователь вредоносного ПО для Android, Zimperium.

Несмотря на то, что FlyTrap не использовал новую технику, ему удалось захватить значительное количество учетных записей Facebook. По словам исследователя, с небольшими изменениями он может превратиться в более опасную угрозу для мобильных устройств.

 

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии