Android-malware met de naam 'FlyTrap' heeft tot nu toe meer dan tienduizend slachtoffers gemaakt in meer dan 140 landen. Via social engineering wisten de daders sessiecookies en andere gegevens te stelen en zo toegang te krijgen tot meer dan tienduizend Facebook-accounts. Vervolgens stalen de aanvallers allerlei persoonlijke gegevens en stuurden deze informatie door naar Command & Control servers.
Duizenden slachtoffers zijn verspreid over 144 landen
Dat schrijft cybersecuritybedrijf Zimperium. Het bedrijf scant, onder meer, Android-applicaties nog voordat ze in de Google Play Store belanden. Daarnaast analyseert ze met regelmatig nieuwe virussen en andere digitale dreigingen. Ditmaal heeft het bedrijf een blog geschreven over FlyTrap.
Psychologische manipulatie
FlyTrap is malware die sinds afgelopen maart op het internet rondwaart. FlyTrap is een Trojaans paard: op het eerste oog doet hij zich voor als een legitieme applicatie, maar in werkelijkheid steelt hij stiekem allerlei persoonlijke gegevens over gebruikers en stuurt deze door naar een zogeheten Command & Control server.
De ontwikkelaar van FlyTrap maakt gebruik van social engineering. Dat is vorm van psychologische manipulatie waarbij hij nietsvermoedende slachtoffers weet aan te zetten tot bepaald gedrag door gebruik te maken van misleiding. Gedupeerden denken bijvoorbeeld een prijs te winnen, maar in werkelijkheid worden hun persoonsgegevens gestolen.
In het geval van FlyTrap bedacht de ontwikkelaar een malafide applicatie die tot de verbeelding van gebruikers sprak. Wie de app installeerde, kreeg zogenaamd kortingscoupons voor diensten als Netflix en Google AdWords. In een andere variant konden gamers op hun favoriete voetballer of voetbalteam stemmen, wat overeenkwam met de wedstrijd die EA had uitgeschreven voor hun nieuwste mobiele voetbalgame.
De schermen die worden weergegeven bij de installatie en lancering van de FlyTrap-trojans
Om deze coupons te verzilveren, moesten gebruikers zogenaamd inloggen op hun Facebook-account. In werkelijkheid was het niets meer dan een truc om hun inloggegevens van het platform, andere sociale media accounts, banken en cryptowallets buit te maken. Tevens konden de gekaapte accounts als botnet gebruikt worden, bijvoorbeeld om desinformatie te verspreiden, de publieke opinie te beïnvloeden of de populariteit van een product of website te manipuleren.
De grafische stroom van de FlyTrap-trojans die uiteindelijk naar de inlogpagina leiden
Inloggegevens, locatie en IP adres
Als de FlyTrap malware eenmaal is geïnstalleerd, vindt er een JavaScript Injection plaats. “Met deze techniek opent de toepassing de legitieme URL in een WebView die is geconfigureerd met de mogelijkheid om JavaScript-code te injecteren, en exporteert alle noodzakelijke informatie zoals sessiecookies, accountgegevens van gebruikers, geografische locatie en IP-adres door kwaadaardige JavaScript-code te injecteren”, aldus Zimperium.
Alle informatie die FlyTrap op deze manier verzamelt, wordt doorgestuurd naar de Command & Control server van de ontwikkelaar. De malafide applicatie heeft volgens het Zimperium zLabs Threat Research Team tot nu toe meer dan tienduizend slachtoffers in meer dan 140 landen gemaakt, waaronder in Nederland.
Nog steeds in omloop
Aanvankelijk werd FlyTrap via de Google Play Store en applicatiewinkels van derden verspreid. Zimperium meldde haar bevindingen bij de zoekmachinegigant en verwijderde daarop alle malafide applicaties die met FlyTrap waren uitgerust. Het cybersecuritybedrijf waarschuwt dat de kwaadaardige app nog steeds in omloop is en via sideloading geïnstalleerd kan worden.
Waarom FlyTrap zoveel slachtoffers heeft gemaakt, staat volgens Zimperium als een paal boven water. “Net als bij elke andere vorm van manipulatie, zijn de afbeeldingen van hoge kwaliteit en de officieel uitziende inlogschermen gebruikelijke tactieken om gebruikers aan te sporen actie te laten ondernemen die gevoelige informatie zou kunnen onthullen. In dit geval, terwijl de gebruiker zich aanmeldt op zijn officiële account, kaapt de FlyTrap Trojan de sessie-informatie voor kwaadaardige doeleinden.”
De onderzoekers van Zimperium zeggen dat de tools en technieken die FlyTrap gebruikt niet nieuw, maar wel effectief zijn. Smartphones bevatten vaak een schat aan informatie die interessant is voor hackers en cybercriminelen. Zij vrezen dat met een paar kleine aanpassingen FlyTrap getransformeerd kan worden tot een gevaarlijke Trojan die nog meer uiterst gevoelige informatie kan bemachtigen.
Bron: zimperium.com, vpngids.nl
Tips of verdachte activiteiten gezien? Meld het hier.
Malware gerelateerde berichten
Coronavirus-campagnes verspreid Emotet, Malware
Aangezien het coronavirus uit de provincie Wuhan in China nog steeds wijdverbreide angsten wekt over een mondiale volksgezondheidscrisis, zien sommigen een kans in de uitbraak.
Muziek: Artiesten en nummers om malware te verspreiden
Kaspersky-beveiligingstechnologieën ontdekten een toename van 39% van aanvallen (pogingen om kwaadaardige bestanden te downloaden of uit te voeren) onder het mom van het werk van 'genomineerden in 2019, vergeleken met 2018'. Ariana Grande, Taylor Swift en Post Malone waren de favorieten van aanvallers, met deze genomineerden namen die het meest worden gebruikt in 2019 als vermomming voor malware.
Kerstmis malware verspreidt zich snel
Het is tijd voor lelijke kersttruien - en voor lelijke spammails met een kerstthema. Een nieuwe malspam-campagne dumpt een e-mail in uw inbox met 'Christmas Party', 'Christmas Party volgende week', 'Partymenu', 'Vakantieschema' of iets dergelijks. Maar het bijgevoegde Word-document bevat een gevaarlijke malware: de beruchte Trojan-malware van Emotet.
Nepkortingsbonnen McDonalds leiden naar bankmalware
Facebook gebruikers zijn gewaarschuwd voor zogenaamde kortingsbonnen van 'McDonalds' die via het platform worden aangeboden. In plaats van een korting op een Big Mac, wacht er een infectie met bankmalware, die gegevens voor internetbankieren onderschept. Dat meldt antivirusbedrijf ESET.
Bestandloze malware "Campagnes zonder infectie zijn moeilijk te detecteren"
Net zoals criminelen kunnen worden gepakt door vingerafdrukken of DNA op de plaats delict, laten hackers ook sporen achter op geïnfecteerde systemen. Om het bewijs van hun aanvallen te verbloemen, hebben cybercriminelen bestandsloze malware ontwikkeld. Deze schadelijke softwarevariant bestaat slechts als een artefact op het computergeheugen. De infectie of malware plaatst geen uitvoerbare bestanden op de harde schijf van het geïnfecteerde systeem om de detectie van de aanval zo lang mogelijk te verbergen. Verschillende nieuwe campagnes, die gebruikmaken van bestandsloze malware-aanvallen, zijn geanalyseerd door het Zscaler-ThreatlabZ-team.
Aanvallers blijven gebruikmaken van meer sociale engineering en verfijning
Ondanks een afwezigheid van bijna vier maanden, was de terugkeer van 'Emotet' in de laatste twee weken van september goed voor bijna 12 procent van alle kwaadaardige e-mailvoorbeelden in het derde kwartaal, waardoor miljoenen berichten met kwaadaardige URL's of bijlagen werden afgeleverd, vond Proofpoint.