FlyTrap-Malware
Seit Monaten läuft offenbar eine drohende Angriffskampagne, die auf Android-Benutzer abzielt und versucht, ihre Facebook-Zugangsdaten zu sammeln. Die Operation setzte eine zuvor unbekannte Malware-Bedrohung mit dem Namen FlyTrap ein. Laut einem von den Forschern der zLabs von Zimperium veröffentlichten Bericht konnte die FlyTrap Facebook-Konten von mehr als 10.000 Benutzern in etwa 144 Ländern kompromittieren. Der Bedrohungsakteur hinter der Kampagne scheint von Vietnam aus zu operieren.
Verteilungstechniken
Der FlyTrap-Angriff stützte sich auf zahlreiche Waffenanwendungen und nutzte Social-Engineering-Tricks, um seine Opfer anzulocken. Die bedrohlichen Anwendungen standen sogar im offiziellen Google Play Store zum Download bereit, bevor sie entfernt wurden. Jetzt verbreiten sie sich über Plattformen und Geschäfte von Drittanbietern. Bisher wurden neun verschiedene Anwendungen entdeckt, die die FlyTrap-Malware bereitstellen – GG Voucher, Vote European Football, GG Coupon Ads, GG Voucher Ads, GG Voucher, Chatfuel, Net Coupon, a different Net Coupon und EURO 2021 Official. Sie geben vor, lukrative Belohnungen wie Netflix- oder Google AdWords-Gutscheincodes anzubieten, oder versuchen, die Nutzer durch beliebte Veranstaltungen zu begeistern, indem sie sie auffordern, für ihre Lieblingsmannschaft und Spieler zu stimmen, die zwischen dem 11. Juni und Juli 2021 an der UEFA EURO 2020 teilnahmen. Um jedoch auf die vermeintlichen Belohnungen zugreifen zu können, mussten sich die Benutzer mit ihren Facebook-Konten anmelden.
Bedrohliche Funktionalität
Wenn sich der Benutzer bei dem Konto anmeldet, wird die FlyTrap-Malware aktiviert und erfasst die Geolokalisierung, E-Mail-Adresse, IP-Adresse, Facebook-ID und die Cookies und Token des gehackten Facebook-Kontos des Opfers. Anschließend könnten die Angreifer die erlangten Informationen auf verschiedene Weise ausnutzen. Sie könnten Desinformationskampagnen starten, gesponserte Seiten verstärken, Propaganda über alle kompromittierten Konten verbreiten oder die FlyTrap-Malware noch weiter verbreiten, indem sie Lock-Nachrichten an die Kontaktliste des Opfers senden. Die Kerntechnik der Bedrohung ist als JavaScript-Injection bekannt. Dabei öffnet die gefälschte App eine legitime URL in einem WebView-Fenster, das so konfiguriert ist, dass JavaScript-Code eingefügt werden kann.
