Android-Malware “FlyTrap” kapert Facebook-Konten

  • Gutscheincodes für Netlifx oder Google AdWords? Abstimmung über die beste Fußballmannschaft? Vorsicht ist geboten: Bösartige Anwendungen, die solche Werbegeschenke anbieten, könnten einen neuen Trojaner einschleusen.

    Forscher haben einen neuen Android-Trojaner mit dem Namen FlyTrap entdeckt, der sich über manipulierte Apps in App-Stores von Drittanbietern, per Sideloading geladene Apps und gekaperte Facebook-Konten bei mehr als 10.000 Opfern verbreitet hat.

    In einem am Montag veröffentlichten Bericht schreiben die zLabs Mobile Threat Research Teams von Zimperium, dass sich FlyTrap seit März über bösartige Apps, die über den Google Play Store und App-Marktplätze von Drittanbietern verteilt wurden, in mindestens 144 Ländern verbreitet hat. Die Malware, die die Forscher auf Betreiber aus Vietnam zurückführen, gehört zu einer Familie von Trojanern, die Social Engineering nutzen, um Facebook-Konten zu übernehmen, so die Forscher.

    Die Session-Hijacking-Kampagne wurde zunächst über Google Play sowie über App-Stores von Drittanbietern verbreitet. Google Play seinerseits entfernte die schädlichen Apps, nachdem Zimperium zLabs das Unternehmen gewarnt hatte.

    [Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

    Sie werden jedoch nach wie vor über ungesicherte App-Stores von Drittanbietern verbreitet, was “das Risiko von Sideloaded-Anwendungen für mobile Endgeräte und Benutzerdaten verdeutlicht”, so Zimperium.

    Dies sind die neun gefährlichen Anwendungen:

    • GG Voucher (com.luxcarad.cardid)
    • Vote European Football (com.gardenguides.plantingfree)
    • GG Coupon-Anzeigen (com.free_coupon.gg_free_coupon)
    • GG Gutschein-Anzeigen (com.m_application.app_moi_6)
    • GG-Gutschein (com.free.voucher)
    • Chatfuel (com.ynsuper.chatfuel)
    • Netto-Gutschein (com.free_coupon.net_coupon)
    • Netzgutschein (com.movie.net_coupon)
    • EURO 2021 Offiziell (com.euro2021)

    Wie man in der Fliegenfalle festsitzt

    Die Bedrohungsakteure verwenden eine Vielzahl von Lockangeboten: Kostenlose Netflix-Gutscheincodes, Google AdWords-Gutscheincodes und Abstimmungen für die beste Fußballmannschaft oder den besten Fußballspieler. Sie sind nicht nur verlockend, sondern auch raffiniert, mit hochwertigen Grafiken – umso besser können sie verbergen, was sie hinter den Kulissen tun.

    “Wie bei jeder Benutzermanipulation sind die hochwertigen Grafiken und die offiziell aussehenden Anmeldebildschirme eine gängige Taktik, um Benutzer zu Aktionen zu bewegen, die sensible Informationen preisgeben könnten”, erklären die Forscher von zLabs. “Während sich der Benutzer in sein offizielles Konto einloggt, entführt der FlyTrap-Trojaner die Sitzungsinformationen für böswillige Zwecke.

    Die bösartigen Apps geben vor, Netflix- und Google AdWords-Gutscheincodes anzubieten oder die Nutzer für ihre Lieblingsmannschaften und -spieler bei der UEFA EURO 2020 abstimmen zu lassen: Die alle vier Jahre stattfindende Fußball-Europameisterschaft, die am 11. Juli zu Ende ging (mit einem Jahr Verzögerung durch COVID-19). Doch bevor die Malware-Apps die versprochenen Goodies verteilen, werden die Zielpersonen aufgefordert, sich mit ihrem Facebook-Konto anzumelden, um ihre Stimme abzugeben oder den Gutscheincode oder die Gutschriften zu erhalten.

    Natürlich gibt es keine kostenlosen Netflix- oder AdWords-Gutscheine oder Codes, und es gibt auch keine Abstimmung für einen Fußball. Vielmehr haben es die bösartigen Apps nur auf die Facebook-Anmeldedaten abgesehen. Sie versuchen, den Anschein der Seriosität zu erwecken, indem sie eine Nachricht einblenden, die besagt, dass der Gutschein oder Code “nach dem Einlösen und vor dem Ausgeben” abgelaufen ist, wie in den Screenshots unten gezeigt.

    [Blocked Image: https://alltechnews.de/daten/2021/08/1628526356_761_Android-Malware-FlyTrap-kapert-Facebook-Konten.jpeg]

    Bildschirmfotos von FlyTrap’s Lockangeboten. Quelle: Zimperium.

    [Blocked Image: https://alltechnews.de/daten/2021/08/1628526357_17_Android-Malware-FlyTrap-kapert-Facebook-Konten.jpeg]

    Bildschirmaufnahmen von FlyTrap’s Facebook-Anmeldedatenklau-Operation. Quelle: Zimperium.

    Die Fliegenfalle hat zu tun

    Nachdem ein verwirrter Android-Benutzer seine Facebook-Anmeldedaten weitergegeben hat, schlürfen die Apps fleißig Details wie diese:

    • Facebook-Kennung
    • Standort
    • E-Mail Adresse
    • IP-Adresse
    • Mit dem Facebook-Konto verbundene Cookies und Token

    Dann nutzt der Trojaner die Opferkonten, um seine Tentakel zu verbreiten, indem er den Anschein erweckt, dass die rechtmäßigen Besitzer legitime Beiträge teilen, so die Forscher von zLabs: “Diese gekaperten Facebook-Sitzungen können zur Verbreitung der Malware genutzt werden, indem die soziale Glaubwürdigkeit des Opfers durch persönliche Nachrichten mit Links zum Trojaner missbraucht wird und Propaganda- oder Desinformationskampagnen unter Verwendung der Geolokalisierungsdaten des Opfers verbreitet werden”, schreiben sie. “Diese Social-Engineering-Techniken sind in der digital vernetzten Welt sehr effektiv und werden von Cyberkriminellen häufig eingesetzt, um Malware von einem Opfer zum anderen zu verbreiten.”

    Das stimmt: Zu ähnlichen Kampagnen gehört SilentFade: eine Malware-Kampagne, die mit chinesischen Akteuren in Verbindung gebracht wird, die jahrelang auf die Werbeplattform von Facebook abzielte und 4 Millionen US-Dollar von den Werbekonten der Nutzer abschöpfte, indem sie die kompromittierten Konten nutzte, um bösartige Werbung zu verbreiten, Browser-Cookies zu stehlen und mehr. Kürzlich wurde festgestellt, dass eine ähnliche Malware – ein Passwort- und Cookie-Stealer namens CopperStealer – seit 2019 Amazon-, Apple-, Google- und Facebook-Konten kompromittiert und dann für weitere cyberkriminelle Aktivitäten genutzt hat.

    Wie FlyTrap schnappt

    FlyTrap nutzt JavaScript-Injektion, um Sitzungen zu kapern, indem es sich bei der ursprünglichen und legitimen Domain anmeldet. Die bösartigen Anwendungen öffnen die legitime Domain in einer WebView und injizieren dann bösartigen JavaScript-Code, der es ermöglicht, gezielte Informationen zu extrahieren – z. B. Cookies, Benutzerkontodetails, Standort und IP-Adresse.

    Der Command-and-Control (C2)-Server von FlyTrap verwendet die gestohlenen Anmeldedaten, um den Zugriff auf die abgegriffenen Daten zu autorisieren. Aber es kommt noch schlimmer: zLabs fand heraus, dass der C2-Server eine Fehlkonfiguration aufweist, die ausgenutzt werden könnte, um die gesamte Datenbank der gestohlenen Sitzungscookies “für jeden im Internet” zugänglich zu machen, was die Opfer noch weiter gefährden würde, so die Forscher.

    Die von zLabs zur Verfügung gestellte Karte zeigt die 144 Länder, in denen FlyTrap Tausende von Opfern in die Falle gelockt hat.

    [Blocked Image: https://alltechnews.de/daten/2021/08/Android-Malware-FlyTrap-kapert-Facebook-Konten.jpg]

    FlyTrap-Verbreitungskarte. Quelle: Zimperium.

    Der Diebstahl von Anmeldeinformationen von mobilen Geräten ist nichts Neues, so die Forscher: Schließlich sind mobile Endgeräte “oft eine Fundgrube für ungeschützte Anmeldeinformationen zu Social-Media-Konten, Bankanwendungen, Unternehmenstools und mehr”.

    Tatsächlich sind die Tools und Techniken von FlyTrap so effektiv, dass man sich nicht wundern sollte, wenn ein bösartiger Akteur sie aufgreift und sie – oder “jeden anderen Trojaner” – nachrüstet, um noch mehr kritische Informationen abzugreifen, so die Forscher.

    Wie Sie Ihr Android-Gerät schützen können

    Richard Melick, Director of Product Marketing for Endpoint Security bei Zimperum, erklärte am Montag gegenüber Threatpost, dass Android-Nutzer ihr Infektionsrisiko sofort senken können, indem sie sicherstellen, dass sie die Installation von Apps aus nicht vertrauenswürdigen Quellen nicht zulassen.

    Die Einstellung ist zwar auf den meisten Android-Geräten standardmäßig deaktiviert, aber mit Social-Engineering-Techniken lassen sich die Benutzer sehr effektiv dazu verleiten, die Installation zuzulassen”, erklärte er in einer E-Mail.

    Um unbekannte Quellen auf Android zu deaktivieren, gehen Sie zu den Einstellungen, wählen Sie “Sicherheit” und stellen Sie sicher, dass die Option “Unbekannte Quellen” nicht aktiviert ist.

    Melick empfahl den Nutzern außerdem, die Multi-Faktor-Authentifizierung (MFA) für alle Social-Media-Konten und alle anderen Konten mit Zugriff auf sensible und private Daten zu aktivieren.

    “Dies wird diese Art von Hackerangriffen zwar nicht verhindern, aber es fügt dem Benutzerprofil zusätzliche Sicherheitsebenen hinzu, wie z. B. geobasierte Warnungen”, riet er – d. h. “Dieses Konto versucht, sich von Vietnam aus anzumelden.”

    Wenn ein Android-Nutzer den Verdacht hat, dass ein Facebook-Konto mit einer böswilligen Partei verbunden wurde, rät Melick, den Anweisungen von Facebook zu folgen und sich von allen Konten auf allen Geräten abzumelden, die Passwörter sofort zu ändern und MFA zu aktivieren, falls dies noch nicht der Fall ist.

    Generell sollte man misstrauisch gegenüber missbräuchlichen Apps sein, riet Melick. “Insgesamt geht es darum, sich bewusst zu machen, was eine Anwendung von einem verlangt”, so Melick. “Wenn Sie Ihre Social-Media-Konten verknüpfen müssen, um Zugang zu einem Coupon oder Angebot zu erhalten, sollten Sie sich fragen, warum. Wofür könnte die Website/das Gutscheinunternehmen diese Daten jetzt verwenden? Was können sie mit Ihrem Konto anstellen? Brauchen sie das wirklich, um Ihnen ein Angebot zu machen? Wenn die Verbindung erst einmal hergestellt ist, können Ihre Daten leicht ohne Ihre Zustimmung abgegriffen und verwendet werden.[Blocked Image: https://alltechnews.de/daten/2021/07/1627497625_347_BlackMatter-Haron-Boese-Ransomware-Neugeburten-oder-Wiedergeburten.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST an und finden Sie heraus, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com