11/08/21
Специалисты ИБ-компании Zimperium обнаружили новую вредоносную кампанию, нацеленную на пользователей Android. В ходе кампании используется вредоносное ПО FlyTrap, взламывающее учетные записи Facebook путем похищения cookie-файлов сеанса. Жертвами вредоноса уже стали более 10 тыс. пользователей в 140 странах мира.
Кампания FlyTrap основывается на простых методах социальной инженерии. Злоумышленники обманом заставляют жертв авторизоваться в вредоносном приложении с использованием учетных данных для авторизации в Facebook. В свою очередь, приложение собирает данные, связанные с сеансом. Как выяснили специалисты Zimperium, эти данные были доступны каждому, кто обнаружит C&C-сервер FlyTrap.
Кампания FlyTrap началась как минимум с марта 2021 года. Для обмана жертв злоумышленники используют высококачественные вредоносные приложения, распространяемые через Google Play и сторонние магазины Android-приложений.
Мошенники предлагают потенциальным жертвам бесплатные коды для Netflix и Google AdWords за участие в голосовании, в котором нужно проголосовать за свою любимую футбольную команду или игрока. Для того чтобы получить обещанное вознаграждение, жертва должна авторизоваться в приложении с помощью учетных данных Facebook.
Поскольку вредоносное приложение использует настоящий сервис единого входа (SSO) Facebook, оно не может собирать учетные данные пользователей. Вместо этого с помощью внедрения JavaScript-кода FlyTrap собирает другие важные данные.
Как пояснили исследователи, приложение открывает в Android-компоненте WebView легитимный URL, сконфигурированный таким образом, чтобы внедрять JavaScript-код и извлекать всю необходимую информацию, такую как cookie-файлы, данные учетной записи пользователя, местоположение и IP-адреса. Вся полученная информация отправляется на C&C-сервер FlyTrap.
Как сообщили специалист Zimperium Аазим Ясвант (Aazim Yaswant), C&C-сервер подвержен множественным уязвимостям, открывающим доступ к хранящейся на нем информации.
