أكثر من 10 آلاف مستخدم في 140 دولة حول العالم أصبحوا بالفعل ضحايا FlyTrap.
اكتشف متخصصون في شركة أمن المعلومات Zimperium حملة خبيثة جديدة تستهدف مستخدمي Android. تستخدم الحملة برنامج FlyTrap الخبيث لاختراق حسابات Facebook عن طريق سرقة ملفات تعريف الارتباط الخاصة بالجلسة. أكثر من 10 آلاف مستخدم في 140 دولة حول العالم أصبحوا ضحايا البرمجيات الخبيثة.
تعتمد حملة FlyTrap على تقنيات الهندسة الاجتماعية البسيطة. يخدع المهاجمون الضحايا لتسجيل الدخول إلى تطبيق ضار باستخدام بيانات اعتماد تسجيل الدخول إلى Facebook. بدوره ، يجمع التطبيق البيانات المتعلقة بالجلسة. كما اكتشف متخصصو Zimperium ، كانت هذه البيانات متاحة لأي شخص اكتشف خادم FlyTrap C&C.
بدأت حملة FlyTrap على الأقل في مارس 2021. للاحتيال على ضحاياهم ، يستخدم المهاجمون تطبيقات ضارة عالية الجودة يتم توزيعها عبر Google Play ومتاجر تطبيقات Android التابعة لجهات خارجية.
يقدم المحتالون للضحايا المحتملين شفرات Netflix و Google AdWords مجانية للتصويت لفريق كرة القدم أو لاعبهم المفضل. من أجل الحصول على المكافأة الموعودة ، يجب على الضحية تسجيل الدخول إلى التطبيق باستخدام بيانات اعتماد Facebook الخاصة بهم.
نظرًا لأن التطبيق الضار يستخدم خدمة تسجيل الدخول الأحادي الحقيقية (SSO) على Facebook ، فلا يمكنه جمع بيانات اعتماد المستخدم. بدلاً من ذلك ، تجمع FlyTrap بيانات مهمة أخرى من خلال حقن JavaScript.
كما أوضح الباحثون ، يفتح التطبيق عنوان URL شرعيًا في مكون Android WebView ، تم تكوينه لإدخال JavaScript واسترداد جميع المعلومات الضرورية مثل ملفات تعريف الارتباط ومعلومات حساب المستخدم والموقع وعناوين IP. يتم إرسال جميع المعلومات المستلمة إلى خادم FlyTrap C&C.
وفقًا لمتخصص Zimperium Aazim Yaswant ، يتعرض خادم C & C لنقاط ضعف متعددة تتيح الوصول إلى المعلومات المخزنة عليه.
0 تعليقات