Aufgepasst! Neue Android-Malware hackt Tausende von Facebook-Konten

  • Ein neuer Android-Trojaner hat seit März 2021 die Facebook-Konten von mehr als 10.000 Nutzern in mindestens 144 Ländern über betrügerische Apps kompromittiert, die über den Google Play Store und andere App-Marktplätze von Drittanbietern verbreitet wurden.

    Die bisher nicht dokumentierte Malware mit dem Namen “FlyTrap” gehört vermutlich zu einer Familie von Trojanern, die Social-Engineering-Tricks anwenden, um in Facebook-Konten einzudringen, und zwar als Teil einer Session-Hijacking-Kampagne, die von böswilligen Akteuren von Vietnam aus gesteuert wird, so ein Bericht, der heute von den zLabs von Zimperium veröffentlicht und mit The Hacker News geteilt wurde.

    [Blocked Image: https://thehackernews.com/images/-u_TFlX83-es/YMt1oTeur5I/AAAAAAAA4Q0/KR6i59vv_vIwmmg08UXTwO08_FGRyPjmQCLcBGAsYHQ/s300-e100/free-ad-9-300.png]

    Obwohl die neun angreifenden Anwendungen inzwischen aus Google Play entfernt wurden, sind sie weiterhin in App-Stores von Drittanbietern verfügbar, was “das Risiko von Sideloaded-Anwendungen für mobile Endgeräte und Benutzerdaten verdeutlicht”, so Aazim Yaswant, Malware-Forscher bei Zimperium. Die Liste der Apps ist wie folgt

    • GG Voucher (com.luxcarad.cardid)
    • Vote European Football (com.gardenguides.plantingfree)
    • GG Coupon-Anzeigen (com.free_coupon.gg_free_coupon)
    • GG Gutschein-Anzeigen (com.m_application.app_moi_6)
    • GG-Gutschein (com.free.voucher)
    • Chatfuel (com.ynsuper.chatfuel)
    • Netto-Gutschein (com.free_coupon.net_coupon)
    • Netzgutschein (com.movie.net_coupon)
    • EURO 2021 Offiziell (com.euro2021)

    Die bösartigen Apps geben vor, Netflix- und Google AdWords-Gutscheincodes anzubieten und lassen die Nutzer für ihre Lieblingsmannschaften und -spieler bei der UEFA EURO 2020 abstimmen, die zwischen dem 11. Juni und dem 11. Juli 2021 stattfand, allerdings nur unter der Bedingung, dass sie sich mit ihrem Facebook-Konto anmelden, um ihre Stimme abzugeben oder den Gutscheincode oder das Guthaben abzuholen.

    [Blocked Image: https://thehackernews.com/images/-K3jpPm1pjXs/YREjQnYTYqI/AAAAAAAADeY/g8xyOH0q4bwhVSzTaCpOwkKJWQatbJMcQCLcBGAsYHQ/s0/android-hacking.jpg]

    [Blocked Image: https://thehackernews.com/images/-wvRtNsYvY_c/YREjikJeJuI/AAAAAAAADeg/WtTlU-VfLoEAueV8aP61bLc2IbC5PXX1ACLcBGAsYHQ/s0/facebook-hacking-app.jpg]

    Sobald sich ein Nutzer in das Konto eingeloggt hat, ist die Malware so ausgestattet, dass sie die Facebook-ID, den Standort, die E-Mail-Adresse, die IP-Adresse und die mit dem Facebook-Konto verbundenen Cookies und Token des Opfers stiehlt, so dass der Bedrohungsakteur Desinformationskampagnen unter Verwendung der Geolokalisierungsdaten des Opfers durchführen oder die Malware über Social-Engineering-Techniken weiter verbreiten kann, indem er persönliche Nachrichten mit Links zum Trojaner versendet.

    [Blocked Image: https://thehackernews.com/images/-c9dgmAKoN_s/YLy9MwSA5HI/AAAAAAAA4BI/hJfAZal3vaMbpnSbjpBWkZ-bT_62BsztwCLcBGAsYHQ/s728-e100/auth_728.jpg]

    Dies wird mit einer Technik namens JavaScript-Injektion erreicht, bei der “die Anwendung die legitime URL innerhalb einer WebView öffnet, die mit der Fähigkeit konfiguriert ist, JavaScript-Code zu injizieren, und alle notwendigen Informationen wie Cookies, Benutzerkontodetails, Standort und IP-Adresse extrahiert, indem sie bösartigen Code injiziert. [JavaScript] Code injiziert”, erklärte Yaswant.

    [Blocked Image: https://thehackernews.com/images/-80SLLqQzeUs/YREj90uM-RI/AAAAAAAADeo/u3DNbZWULyI9o7piF9_n26z6JEMuxCeoACLcBGAsYHQ/s0/hacking-code.jpg]

    Während die exfiltrierten Daten auf einer Command-and-Control-Infrastruktur (C2) gehostet werden, könnten die im C2-Server gefundenen Sicherheitslücken ausgenutzt werden, um die gesamte Datenbank mit den gestohlenen Sitzungscookies für jeden im Internet zugänglich zu machen, wodurch die Opfer einem weiteren Risiko ausgesetzt wären.

    “Böswillige Bedrohungsakteure machen sich den weit verbreiteten Irrglauben zunutze, dass die Anmeldung bei der richtigen Domain immer sicher ist, unabhängig von der Anwendung, mit der man sich anmeldet”, so Yashwant. “Die anvisierten Domains sind beliebte Social-Media-Plattformen, und diese Kampagne war außerordentlich effektiv beim Sammeln von Social-Media-Sitzungsdaten von Benutzern aus 144 Ländern. Diese Konten können als Botnet für verschiedene Zwecke genutzt werden: von der Steigerung der Popularität von Seiten/Sites/Produkten bis hin zur Verbreitung von Fehlinformationen oder politischer Propaganda.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com