Le malware FlyTrap a piraté des milliers de comptes Facebook

0

Une nouvelle menace Android que les chercheurs appellent FlyTrap a pris le contrôle des comptes Facebook d’utilisateurs dans plus de 140 pays en volant des cookies de session.

Les campagnes FlyTrap reposent sur des tactiques d’ingénierie sociale simples pour inciter les victimes à utiliser leurs informations d’identification Facebook pour se connecter à des applications malveillantes qui ont collecté des données associées à la session de réseaux sociaux.

Des chercheurs de la société de sécurité mobile Zimperium ont détecté le nouveau malware et ont découvert que les informations volées étaient accessibles à toute personne ayant découvert le serveur de commande et de contrôle (C2) de FlyTrap.

Attirer avec des applications de haute qualité

Les campagnes FlyTrap sont en cours depuis au moins Mars. Le pirate informatique a utilisé des applications malveillantes avec une conception de haute qualité, distribuées via Google Play et des magasins Android tiers.

L’attrait consistait en des offres de codes promo gratuits (pour Netflix, Google AdWords) et en votant pour votre équipe ou joueur de football préféré, en phase avec la compétition retardée de l’UEFA Euro 2020.

FlyTrap

Pour obtenir la récompense promise, il fallait se connecter à l’application à l’aide des informations d’identification Facebook, l’authentification se produisant sur le domaine légitime des réseaux sociaux.

Étant donné que les applications malveillantes utilisent le véritable service d’authentification unique (SSO) de Facebook, elles ne peuvent pas collecter les informations d’identification des utilisateurs. Au lieu de cela, FlyTrap s’appuie sur l’injection de JavaScript pour récolter d’autres données sensibles.

« En utilisant cette technique, l’application ouvre l’URL légitime dans une WebView configurée avec la possibilité d’injecter du code JavaScript et extrait toutes les informations nécessaires telles que les cookies, les détails du compte utilisateur, l’emplacement et l’adresse IP en injectant du code JS malveillant »

Toutes les informations collectées de cette manière sont transmises au serveur C2 de FlyTrap. Plus de 10 000 utilisateurs d’Android dans 144 pays ont été victimes de cette ingénierie sociale.

FlyTrap

Les chiffres proviennent directement du serveur de commande et de contrôle, auquel les chercheurs ont pu accéder car la base de données contenant les cookies de session Facebook volés était exposée à quiconque sur Internet.

Aazim Yaswant de Zimperium a déclaré dans un article de blog que le serveur C2 de FlyTrap présentait de multiples failles de sécurité qui facilitaient l’accès aux informations stockées.

Le chercheur note que les comptes sur les plateformes de réseaux sociaux sont une cible courante pour les pirates informatiques, qui peuvent les utiliser à des fins frauduleuses, comme augmenter artificiellement la popularité des pages, des sites, des produits, de la désinformation ou un message politique.

Il souligne le fait que les pages de phishing qui volent des identifiants ne sont pas le seul moyen de se connecter au compte d’un service en ligne. La connexion au domaine légitime peut également comporter des risques.

« Comme pour toute manipulation d’utilisateur, les graphiques de haute qualité et les écrans de connexion d’apparence officielle sont des tactiques courantes pour que les utilisateurs prennent des mesures qui pourraient révéler des informations sensibles. Dans ce cas, pendant que l’utilisateur se connecte à son compte officiel, le cheval de Troie FlyTrap détourne les informations de session à des fins malveillantes » – Aazim Yaswant, chercheur sur les logiciels malveillants Android chez Zimperium

Bien qu’il n’ait pas utilisé de nouvelle technique, FlyTrap a réussi à détourner un nombre important de comptes Facebook. Avec quelques modifications, cela pourrait devenir une menace plus dangereuse pour les appareils mobiles, selon le chercheur.

Laisser un commentaire