El malware FlyTrap secuestra miles de cuentas de Facebook

Una nueva amenaza de Android que los investigadores llaman FlyTrap ha secuestrado las cuentas de Facebook de usuarios en más de 140 países al robar cookies de sesión.

Las campañas FlyTrap se basan en tácticas simples de ingeniería social para engañar a las víctimas para que usen sus credenciales de Facebook para acceder a aplicaciones maliciosas que han recopilado datos asociados con la sesión de redes sociales.

Los investigadores de la empresa de seguridad móvil Zimperium detectaron el nuevo malware y descubrieron que la información robada era accesible para cualquiera que descubriera el servidor de comando y control (C2) de FlyTrap.

Atrae con aplicaciones de alta calidad

Las campañas FlyTrap se han estado ejecutando desde al menos marzo. El actor de amenazas utilizó aplicaciones maliciosas con un diseño de alta calidad, distribuidas a través de Google Play y tiendas de Android de terceros.

El señuelo consistió en ofertas de códigos de cupón gratuitos (para Netflix, Google AdWords) y votaciones por el equipo o jugador de fútbol favorito, en sintonía con el retraso de la competición UEFA Euro 2020.

Aplicaciones maliciosas de Android con FlyTrap Trojan

Para obtener el premio prometido, debe iniciar sesión en la aplicación con sus credenciales de Facebook, la autenticación se realiza en el dominio legítimo de la red social.

Dado que las aplicaciones maliciosas utilizan el verdadero servicio de inicio de sesión único (SSO) de Facebook, no pueden recopilar credenciales de usuario. En cambio, FlyTrap se basa en inyectar JavaScript para recopilar otros datos confidenciales.

"Con esta técnica, la aplicación abre la URL legítima dentro de un WebView configurado con la capacidad de inyectar código JavaScript y extrae toda la información necesaria, como Galletas, usuario Detalles de la cuenta, Posición, Y dirección IP inyectando código JS malicioso "

Toda la información recopilada de esta manera va al servidor C2 de FlyTrap. Más de 10.000 usuarios de Android en 144 países han sido víctimas de esta ingeniería social.

El malware FlyTrap para Android se ha extendido a usuarios en 144 países

Los números provienen directamente del servidor de comando y control, al que los investigadores pudieron acceder porque la base de datos con las cookies de sesión de Facebook robadas estaba expuesta a cualquier persona en Internet.

Aazim Yaswant de Zimperium dice hoy en una publicación de blog que el servidor C2 de FlyTrap tenía múltiples vulnerabilidades de seguridad que facilitaban el acceso a la información almacenada.

El investigador señala que las cuentas en las plataformas de redes sociales son un objetivo común para los actores de amenazas, que pueden usarlas con fines fraudulentos, como aumentar artificialmente la popularidad de páginas, sitios, productos, información errónea o un mensaje político.

Señale que las páginas de phishing que roban credenciales no son la única forma de acceder a una cuenta de servicio en línea. El acceso al dominio legítimo también puede conllevar riesgos.

“Al igual que cualquier manipulación por parte del usuario, los gráficos de alta calidad y las pantallas de inicio de sesión de aspecto oficial son tácticas comunes para que los usuarios realicen acciones que podrían revelar información confidencial. En este caso, mientras el usuario accede a su cuenta oficial, el troyano FlyTrap está secuestrando la información de la sesión con fines maliciosos "- Aazim Yaswant, Investigador de malware de Android, Zimperium

A pesar de no utilizar una nueva técnica, FlyTrap logró secuestrar una cantidad significativa de cuentas de Facebook. Con algunos ajustes, podría convertirse en una amenaza más peligrosa para los dispositivos móviles, dice el investigador.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings