Araştırmacıların FlyTrap'taki yeni bir Android tehdidi, oturum çerezlerini çalarak 140'dan fazla ülkede kullanıcıların Facebook hesaplarını kaçırıyor.
FlyTrap kampanyaları, sosyal medya oturumuyla ilişkili veri toplayan kötü amaçlı uygulamalara giriş yapmak için kurbanlarını kullanarak kurbanlarını kullanmak için basit sosyal mühendislik taktiklerine güveniyor.
Mobil güvenlik şirketi Zimperium'taki araştırmacılar, yeni bir kötü amaçlı yazılım parçasını tespit etti ve çalınan bilgilerin, FlyTrap'in komutunu ve kontrolü (C2) sunucusunu keşfettiği herkes tarafından erişilebilir olduğunu buldu.
FlyTrap kampanyaları en azından Mart ayından bu yana koşuyor. Tehdit oyuncusu, Google Play ve Third-Party Android mağazalarıyla dağıtılan, yüksek kaliteli tasarımlı kötü amaçlı uygulamaları kullandı.
Cazibesi, ücretsiz kupon kodları (Netflix, Google AdWords için) ve favori futbol takımı veya oyuncu için oylama, gecikmeli UEFA Euro 2020 rekabetiyle uyumlu olarak oylamadan oluşuyordu.
Sözde ödülün Facebook kimlik bilgilerini kullanarak uygulamaya giriş yapılması gerektiğini, meşru sosyal medya etki alanında gerçekleşen kimlik doğrulaması.
Kötü amaçlı uygulamalar gerçek Facebook tek oturum açma (SSO) servisini kullandığından, kullanıcıların kimlik bilgilerini toplamazlar. Bunun yerine, FlyTrap, diğer hassas verileri toplamak için JavaScript enjeksiyonuna dayanır.
"Bu tekniği kullanarak, uygulama, JavaScript kodunu enjekte etme ve kurabiye, kullanıcı hesap bilgileri, konum ve IP adresi gibi tüm gerekli bilgileri, kötü amaçlı JS kodu enjekte ederek yapılandıran bir WebView içindeki YÖNETİM URL'sini açar."
Bu şekilde toplanan tüm bilgiler FlyTrap'in C2 sunucusuna gider. 144 ülkede 10.000'den fazla Android kullanıcısı bu sosyal mühendisliğine kurban düştü.
Rakamlar, araştırmacıların çalınan Facebook oturum çerezleriyle olan veritabanı internetteki herkese maruz kaldığı için, araştırmacıların erişebileceği komuta ve kontrol sunucusundan doğrudan gelir.
Zimperium'un Aazim Yaswant, bugün bir blog yazısında, FlyTrap'in C2 sunucusunun depolanan bilgilere erişimi kolaylaştıran birden fazla güvenlik açıklaması olduğunu söylüyor.
Araştırmacı, sosyal medya platformları üzerindeki hesapların, rehberlik eden amaçlar için, sayfaların, sitelerin, ürünlerin, yanlış bilgilendirme veya siyasi bir mesajın popülerliğini arttırmak gibi hileli amaçlar için kullanabilecek ortak bir hedef olduğunu belirtti.
Kimlik bilgisi çalan kimlik avı sayfalarının, çevrimiçi hizmetin hesabına giriş yapmanın tek yolu olmadığı gerçeğini vurguluyor. Meşru etki alanına giriş yapmak da risklerle birlikte gelir.
"Tıpkı herhangi bir kullanıcı manipülasyonu gibi, yüksek kaliteli grafikler ve resmi görünümlü giriş ekranları, kullanıcıların hassas bilgileri ortaya çıkarabilecek harekete geçmesi için ortak taktiklerdir. Bu durumda, kullanıcı resmi hesaplarına giriş yaparken, FlyTrap Trojan, kötü niyetli niyet için oturum bilgilerini kaçırıyor "- Aazim Yaswant, Android Malware Araştırmacı, Zimperium
Yeni bir teknik kullanmamasına rağmen, FlyTrap, önemli sayıda Facebook hesabını kaçırmayı başardı. Birkaç modifikasyonla, araştırmacı, mobil cihazlar için daha tehlikeli bir tehdidi haline gelebilir.
Google Play Protect android güvenlik testleri bir kez daha başarısız oluyor
Google: Android uygulamaları, 2022 Nisan'a kadar gizlilik bilgisi sağlamalıdır.
Firefox, Özel Tarama'da Geliştirilmiş Çerez Temizleme, HTTPS Ekler
Google, eylül başlayan eski android cihazlardaki girişleri engellemek için
Yanlış kişilere rastgele görüntüler gönderen sinyal düzeltmesi
Kaynak: Bleeping Computer