< p class="meta"> Door Jonathan Greig | 9 augustus 2021 — 23:12 GMT (00:12 BST) | Onderwerp: Beveiliging
Er is een nieuwe Android-trojan geïdentificeerd door cyberbeveiligingsbedrijf Zimperium, dat maandag een rapport uitbracht waarin wordt uitgelegd hoe de malware meer dan 10.000 slachtoffers in 144 landen heeft kunnen treffen.
De trojan, door Zimperium-onderzoekers FlyTrap genoemd, kan zich sinds maart verspreiden via “kaping van sociale media, app-winkels van derden en gesideloade applicaties”.
Zimperium's zLabs onderzoeksteams voor mobiele dreigingen identificeerden eerst de malware en kwamen erachter dat het social engineering-trucs gebruikt om Facebook-accounts te compromitteren. De malware kaapt sociale media-accounts door Android-apparaten te infecteren, waardoor aanvallers informatie van slachtoffers kunnen verzamelen, zoals Facebook-ID, locatie, e-mailadres en IP-adres, evenals cookies en tokens die aan uw Facebook-account zijn gekoppeld.
“Deze gekaapte Facebook-sessies kunnen worden gebruikt om de malware te verspreiden door de sociale geloofwaardigheid van het slachtoffer te misbruiken door middel van persoonlijke berichten met links naar de Trojan, en door propaganda of desinformatiecampagnes te verspreiden met behulp van de geolocatiegegevens van het slachtoffer”, schreven de Zimperium-onderzoekers.
“Deze social engineering-technieken zijn zeer effectief in de digitaal verbonden wereld en worden vaak gebruikt door cybercriminelen om malware van het ene slachtoffer naar het andere te verspreiden. De bedreigingsactoren maakten gebruik van verschillende thema's die gebruikers aantrekkelijk zouden vinden, zoals gratis Netflix-couponcodes, Google AdWords couponcodes en stemmen voor het beste voetbalteam of de beste speler.”
De onderzoekers schreven de malware toe aan groepen in Vietnam en zeiden dat ze deze konden verspreiden via Google Play en andere app-winkels. Google ontving een rapport over de malware, verifieerde het en verwijderde alle applicaties uit de winkel.
Maar het rapport merkt op dat drie van de applicaties nog steeds beschikbaar zijn in “onbeveiligde app-opslagplaatsen van derden”.
Zodra slachtoffers zijn overtuigd om de app te downloaden via misleidende ontwerpen, spoort de app gebruikers aan om deel te nemen en vraagt de mensen uiteindelijk om hun Facebook-accountgegevens in te voeren om ergens op te stemmen of couponcodes te verzamelen. Zodra alles is ingevoerd, neemt de app de slachtoffers mee naar een scherm waarop staat dat de kortingsbon al is verlopen.
De onderzoekers legden uit dat de malware een techniek gebruikt die “JavaScript-injectie” wordt genoemd en waarmee de app legitieme URL's kan openen in een “WebView die is geconfigureerd met de mogelijkheid om JavaScript-code te injecteren”. De app extraheert vervolgens informatie zoals cookies, gebruikersaccountgegevens, locatie en IP-adres door kwaadaardige JS-code te injecteren.
Zimperium stelt voor dat Android-gebruikers manieren vinden om te controleren of applicaties op hun apparaat FlyTrap hebben en merkt op dat deze geschonden accounts kunnen worden gebruikt als botnet voor andere doeleinden, zoals het vergroten van de populariteit van bepaalde pagina's of sites.
“FlyTrap is slechts één voorbeeld van de voortdurende, actieve bedreigingen tegen mobiele apparaten die gericht zijn op het stelen van inloggegevens. Mobiele eindpunten zijn vaak schatkamers van onbeschermde inloggegevens voor sociale media-accounts, bankapplicaties, bedrijfstools en meer”, aldus Zimperium-onderzoekers.
“De tools en technieken die worden gebruikt door FlyTrap zijn niet nieuw, maar zijn effectief vanwege het ontbreken van geavanceerde mobiele eindpuntbeveiliging op deze apparaten. Het zou niet veel kosten voor een kwaadwillende partij om FlyTrap of een andere trojan te nemen en deze aan te passen om nog meer te targeten. kritieke informatie.”
Setu Kulkarni, vice-president bij NTT Application Security, zei dat FlyTrap een “handige combinatie” was van een handvol kwetsbaarheden en profiteerde van de overvloed aan metagegevens die toegankelijk zijn, zoals locatie , evenals het impliciete vertrouwen dat kan worden gewonnen door slimme maar dubieuze associaties met bedrijven als Google, Netflix en anderen.
“Dit is niet eens het meest zorgwekkende bit — het meest zorgwekkende is het netwerkeffect dat dit type trojan kan genereren door zich van één gebruiker naar meerdere te verspreiden. Bovendien, zoals de samenvatting van de bevindingen van Zimperium aangeeft — zou deze trojan kunnen worden ontwikkeld om te exfiltreren aanzienlijk meer kritieke informatie zoals bankgegevens,” zei Kulkarni.
“De wat-als-scenario's eindigen daar helaas niet. Wat-als dit type trojan nu als een service wordt aangeboden of wat-als dit snel verandert in ransomware die zich richt op honderdduizenden gebruikers. De bottom line verandert niet Het begint allemaal met een gebruiker die wordt verleid om op een link te klikken. Dit roept de vraag op: zouden Google en Apple niet meer moeten doen om dit voor hun hele klantenbestand aan te pakken?”
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Google Security TV Data Management CXO Datacenters 