FlyTrap Malware

Une campagne d'attaque menaçante ciblant les utilisateurs d'Android et visant à collecter leurs informations d'identification Facebook se déroule apparemment depuis des mois. L'opération a déployé une menace de malware auparavant inconnue qui a été nommée FlyTrap. Selon un rapport publié par les chercheurs des zLabs de Zimperium, le FlyTrap a réussi à compromettre les comptes Facebook de plus de 10 000 utilisateurs répartis dans environ 144 pays. L'acteur menaçant derrière la campagne semble opérer depuis le Vietnam.

Techniques de diffusion

L'attaque FlyTrap s'est appuyée sur de nombreuses applications armées et a utilisé des astuces d'ingénierie sociale pour attirer ses victimes. Les applications menaçantes étaient même disponibles en téléchargement sur la boutique officielle Google Play avant d'être supprimées. Maintenant, ils se propagent via des plateformes et des magasins tiers. Jusqu'à présent, neuf applications différentes diffusant le malware FlyTrap ont été détectées : GG Voucher, Vote European Football, GG Coupon Ads, GG Voucher Ads, GG Voucher, Chatfuel, Net Coupon, un autre Net Coupon et EURO 2021 Official. Ils prétendent offrir des récompenses lucratives, telles que des codes promo Netflix ou Google AdWords, ou tentent d'impliquer les utilisateurs à travers des événements populaires tels que les exhorter à voter pour leur équipe préférée et les joueurs participant à l'UEFA EURO 2020 qui a eu lieu entre le 11 juin et juillet. 11 2021. Cependant, pour accéder aux récompenses supposées, les utilisateurs ont été invités à se connecter en utilisant leurs comptes Facebook.

Fonctionnalité menaçante

Lorsque l'utilisateur se connecte au compte, le malware FlyTrap s'active et récupère la géolocalisation, l'adresse e-mail, l'adresse IP, l'identifiant Facebook et les cookies et jetons liés au compte Facebook violé de la victime. Par la suite, les attaquants pourraient exploiter les informations acquises de plusieurs manières. Ils pourraient lancer des campagnes de désinformation, booster les pages sponsorisées ou diffuser de la propagande via tous les comptes compromis ou propager encore plus le malware FlyTrap en envoyant des messages leurres à la liste de contacts de la victime. La technique de base de la menace est connue sous le nom d'injection JavaScript. Cela implique que la fausse application ouvre une URL légitime dans une fenêtre WebView configurée pour permettre l'injection de code JavaScript.