< p class="meta"> Di Jonathan Greig | 9 agosto 2021 — 23:12 GMT (00:12 BST) | Argomento: sicurezza
Un nuovo trojan Android è stato identificato dalla società di sicurezza informatica Zimperium, che lunedì ha pubblicato un rapporto che spiega come il malware sia stato in grado di colpire più di 10.000 vittime in 144 paesi.
Il trojan, chiamato FlyTrap dai ricercatori di Zimperium, è stato in grado di diffondersi attraverso “dirottamento dei social media, app store di terze parti e applicazioni sideloaded” da marzo.
I team di ricerca sulle minacce mobili di zLabs di Zimperium hanno identificato per primi il malware e scoperto che utilizza trucchi di ingegneria sociale per compromettere gli account Facebook. Il malware dirotta gli account dei social media infettando i dispositivi Android, consentendo agli aggressori di raccogliere informazioni dalle vittime come ID Facebook, posizione, indirizzo e-mail e indirizzo IP, nonché cookie e token legati al tuo account Facebook.
“Queste sessioni di Facebook dirottate possono essere utilizzate per diffondere il malware abusando della credibilità sociale della vittima attraverso messaggi personali con collegamenti al Trojan, nonché propagando campagne di propaganda o disinformazione utilizzando i dettagli di geolocalizzazione della vittima”, hanno scritto i ricercatori di Zimperium.
“Queste tecniche di ingegneria sociale sono molto efficaci nel mondo connesso digitalmente e sono spesso utilizzate dai criminali informatici per diffondere malware da una vittima all'altra. Gli autori delle minacce hanno utilizzato diversi temi che gli utenti avrebbero trovato interessanti come i codici coupon gratuiti di Netflix, Google AdWords codici promozionali e votazione per la migliore squadra o giocatore di calcio.”
I ricercatori hanno attribuito il malware a gruppi con sede in Vietnam e hanno affermato di essere in grado di distribuirlo utilizzando Google Play e altri app store. A Google è stato inviato un rapporto sul malware, lo ha verificato e ha rimosso tutte le applicazioni dallo store.
Ma il rapporto rileva che tre delle applicazioni sono ancora disponibili su “repository di app di terze parti non protette”.
Una volta che le vittime sono convinte a scaricare l'app attraverso progetti ingannevoli, l'app invita gli utenti a impegnarsi e alla fine chiede alle persone di inserire le informazioni del proprio account Facebook per votare qualcosa o raccogliere codici coupon. Una volta inserito tutto, l'app porta le vittime a una schermata che dice che il coupon è già scaduto.
I ricercatori hanno spiegato che il malware utilizza una tecnica chiamata “JavaScript injection” che consente all'app di aprire URL legittimi all'interno di un “WebView configurato con la capacità di iniettare codice JavaScript”. L'app estrae quindi informazioni come cookie, dettagli dell'account utente, posizione e indirizzo IP iniettando codice JS dannoso.
Zimperium suggerisce agli utenti Android di trovare modi per verificare se alcune applicazioni sul proprio dispositivo hanno FlyTrap e hanno notato che questi gli account violati potrebbero essere utilizzati come botnet per altri scopi, come aumentare la popolarità di determinate pagine o siti.
“FlyTrap è solo un esempio delle continue minacce attive contro i dispositivi mobili volte a rubare le credenziali. Gli endpoint mobili sono spesso tesori di informazioni di accesso non protette ad account di social media, applicazioni bancarie, strumenti aziendali e altro”, hanno affermato i ricercatori di Zimperium.
“Gli strumenti e le tecniche utilizzati da FlyTrap non sono nuovi, ma sono efficaci a causa della mancanza di sicurezza avanzata degli endpoint mobili su questi dispositivi. Non ci vorrebbe molto perché un malintenzionato prenda FlyTrap o qualsiasi altro Trojan e lo modifichi per colpire ancora di più informazioni critiche.”
Setu Kulkarni, vicepresidente di NTT Application Security, ha affermato che FlyTrap era una “combinazione geniale” di una manciata di vulnerabilità e ha sfruttato l'abbondanza di metadati aperti all'accesso, come la posizione , così come la fiducia implicita che può essere acquisita da associazioni intelligenti ma dubbie con aziende come Google, Netflix e altri.
“Questo non è nemmeno il bit più preoccupante: il bit preoccupante è l'effetto di rete che questo tipo di trojan può generare diffondendosi da un utente a molti. Inoltre, come afferma il riepilogo dei risultati di Zimperium, questo trojan potrebbe essere evoluto per esfiltrare informazioni significativamente più critiche come le credenziali bancarie”, ha affermato Kulkarni.
“Gli scenari what-if non finiscono qui, purtroppo. What-if questo tipo di trojan è ora offerto come servizio o what-if questo si trasforma rapidamente in un ransomware che prende di mira centinaia di migliaia di utenti. La linea di fondo non cambia . Tutto inizia con un utente che è invogliato a fare clic su un collegamento. Questo fa sorgere la domanda: Google e Apple non dovrebbero fare di più per affrontare questo problema per l'intera base di clienti?”
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Data Center CXO per la gestione dei dati di Google Security TV 