【安全资讯】FlyTrap安卓木马通过谷歌商店感染10000名Facebook帐户

引言

研究人员发现了一种名为“FlyTrap”的新型Android木马，该木马通过Google Play商店和其他第三方应用程序商店分发欺诈性应用程序，感染约10,000 多名用户。攻击者伪装成 Netflix和Google AdWords提供折扣或要求用户为最喜欢的足球队投票，然后将用户引导至一个虚假的 Facebook 登录页面，并要求用户输入凭据。 这些木马利用社会工程技巧入侵Facebook账户，是由越南的攻击者策划的session劫持活动的一部分。

简况

FlyTrap恶意软件通过感染 Android 设备的木马程序劫持受害者的社交媒体帐户，从而使受害者面临身份被盗的风险。FlyTrap 窃取的数据包括 Facebook ID、位置、电子邮件地址、IP 地址以及与 Facebook 帐户关联的 cookie 和令牌。攻击者利用了几个用户会觉得很有吸引力的主题，例如免费的 Netflix 优惠券代码、Google AdWords 优惠券代码以及投票选出最佳足球队或球员。该应用程序最初可在 Google Play 和第三方商店中使用，通过高质量的设计和社会工程诱使用户下载并信任该应用程序。安装后，恶意应用程序会显示吸引用户的页面，如下所示：

FlyTrap木马使用了一种名为JavaScript注入的技术，在配置了注入 JavaScript 代码的 WebView 中打开合法 URL，并通过注入恶意 JS 代码提取所有必要的信息，例如 cookie、用户帐户详细信息、位置和 IP 地址。C2服务器使用登录凭据来授权访问收集的数据。C2服务器中的安全漏洞将被盗会话 cookie 的整个数据库暴露在互联网上，进一步增加了对受害者社会信誉的威胁。

研究人员根据分析发现，FlyTrap木马的攻击活动是由越南的攻击者策划的session劫持活动的一部分。暴露的数据库包含数千名受害者的地理定位信息，迄今为止，研究人员在 144 个国家/地区发现了 10,000 多名受害者，生成的受害者地图如下所示：

总结

研究人员已向谷歌报告了调查结果，谷歌验证了所提供的研究并从 Google Play 商店中删除了恶意应用程序。但是，恶意应用程序仍然存在于第三方、不安全的应用程序存储库中。研究人员建议用户进行快速风险评估，免受 FlyTrap 木马恶意软件的侵害。