FlyTrap Trojan preleva le credenziali di Facebook dagli utenti Android

È stato scoperto un nuovo trojan basato su Android che può dirottare gli account Facebook degli utenti rubando i cookie di sessione. Secondo i ricercatori, le campagne di malware impiegano semplici tattiche di ingegneria sociale.

FlyTrap è ovunque

I ricercatori della società di sicurezza Zimperium hanno individuato un nuovo Trojan chiamato FlyTrap per estrarre le credenziali di accesso di Facebook degli utenti.

  • Diffusa in 140 paesi da marzo, la campagna FlyTrap prevede l’utilizzo di applicazioni dannose per diffondere il malware tramite Google Play e altri negozi Android di terze parti.
  • Gli esperti sospettano che più di 10.000 utenti Android possano essere caduti vittima di questa campagna di attacchi che utilizza varie offerte come esche.

Offerte che non si possono rifiutare

I criminali usavano esche come codici coupon gratuiti per servizi popolari come Google AdWords o Netflix. 

  • In alcuni casi, per attirare le vittime è stato utilizzato anche il voto per la popolare squadra di calcio, il giocatore o il rimanere aggiornati con la competizione UEFA Euro 2020.
  • Un utente interessato deve accedere all’app dannosa con le proprie credenziali di Facebook per richiedere il premio.

Informazioni aggiuntive

Queste app dannose utilizzano un legittimo servizio Single Sign-On (SSO) di Facebook, che impedisce l’acquisizione delle credenziali degli utenti. Per ovviare a questo, il Trojan utilizza l’iniezione JavaScript per raccogliere informazioni sensibili.

  • Tutte le informazioni raccolte sono state infine caricate sul server C2 di FlyTrap. 
  • Inoltre, è stato scoperto che il server C2 di FlyTrap presenta più falle di sicurezza, che potrebbero causare ulteriori perdite di cookie di sessione Facebook rubati dal server.

Conclusioni

Anche senza utilizzare alcuna nuova tecnica, FlyTrap ha dirottato un gran numero di account Facebook. Queste credenziali dell’account rubate potrebbero essere utilizzate in altre azioni dannose. Inoltre, la campagna è ancora attiva e con alcune modifiche può diventare una minaccia più seria per gli utenti di smartphone.