Neuer Android-Trojaner kapert soziale Medien

  • Forscher haben eine neue Art von Android-Trojaner-Angriff aufgedeckt, der sich über Social Media Hijacking verbreitet.

    Die Beweise für die Malware wurden vom zLabs-Team des mobilen Sicherheitsunternehmens Zimperium ausgegraben. Eine forensische Untersuchung ergab, dass die bösartige Software zu einer Familie von Trojanern gehört, die Social Engineering nutzen, um Facebook-Konten zu kompromittieren.

    Aazim Yaswant von Zimperium sagte: “Ein neuer Android-Trojaner mit dem Codenamen FlyTrap ist seit März 2021 in mindestens 140 Ländern aufgetaucht und hat sich durch Social Media Hijacking, App-Stores von Drittanbietern und Sideloaded-Anwendungen bei über 10.000 Opfern verbreitet.”

    Die Malware setzt die Opfer dem Risiko eines Identitätsdiebstahls aus, indem sie ihre Social-Media-Konten über einen Trojaner, der ihr Android-Gerät infiziert, entführt. Zu den von FlyTrap gestohlenen Daten gehören die Facebook-ID, der Standort, die E-Mail-Adresse, die IP-Adresse sowie Cookies und Token, die mit dem Facebook-Konto verbunden sind.

    “Diese gekaperten Facebook-Sitzungen können zur Verbreitung der Malware genutzt werden, indem die soziale Glaubwürdigkeit des Opfers durch persönliche Nachrichten mit Links zum Trojaner missbraucht wird und Propaganda- oder Desinformationskampagnen unter Verwendung der Geolokalisierungsdaten des Opfers verbreitet werden”, so Yaswant.

    FlyTrap umgarnt Nutzer sozialer Medien, indem er vorgibt, Rabattcodes für Netflix und Google AdWords anzubieten, oder die Nutzer auffordert, für ihre Lieblingsfußballmannschaft zu stimmen. Die Benutzer werden dann auf eine gefälschte Facebook-Anmeldeseite geleitet und aufgefordert, ihre Anmeldedaten einzugeben.

    Der Trojaner funktioniert, indem er die echte URL in einer WebView öffnet, die so konfiguriert ist, dass sie JavaScript-Code einfügen kann. Er stiehlt dann alle notwendigen Informationen wie die Kontodaten und die IP-Adresse des Benutzers, indem er bösartigen JS-Code einfügt.

    Es wird vermutet, dass Bedrohungsakteure mit Sitz in Vietnam diese Session-Hijacking-Kampagne seit dem Frühjahr durchgeführt haben.

    Die Bedrohungsforscher fanden heraus, dass die bösartigen Anwendungen zunächst sowohl über Google Play als auch über Anwendungsspeicher von Drittanbietern verbreitet wurden.

    “Zimperium zLabs meldete die Ergebnisse an Google, das die vorgelegten Untersuchungen bestätigte und die bösartigen Anwendungen aus dem Google Play Store entfernte. Die bösartigen Anwendungen sind jedoch nach wie vor in ungesicherten App-Repositories von Drittanbietern verfügbar, was das Risiko von Sideloaded-Anwendungen für mobile Endgeräte und Nutzerdaten verdeutlicht”, so Yaswant.

    Zu den Android-Anwendungen des FlyTrap-Trojaners gehören Vote European Football (com.gardenguides.plantingfree) und Chatfuel (com.ynsuper.chatfuel).

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com