Android-malware met de naam 'FlyTrap' heeft tot nu toe meer dan tienduizend slachtoffers gemaakt in meer dan 140 landen. Via social engineering wisten de daders sessiecookies en andere gegevens te stelen en zo toegang te krijgen tot meer dan tienduizend Facebook-accounts. Vervolgens stalen de aanvallers allerlei persoonlijke gegevens en stuurden deze informatie door naar Command & Control servers.
Duizenden slachtoffers zijn verspreid over 144 landen
Dat schrijft cybersecuritybedrijf Zimperium. Het bedrijf scant, onder meer, Android-applicaties nog voordat ze in de Google Play Store belanden. Daarnaast analyseert ze met regelmatig nieuwe virussen en andere digitale dreigingen. Ditmaal heeft het bedrijf een blog geschreven over FlyTrap.
Psychologische manipulatie
FlyTrap is malware die sinds afgelopen maart op het internet rondwaart. FlyTrap is een Trojaans paard: op het eerste oog doet hij zich voor als een legitieme applicatie, maar in werkelijkheid steelt hij stiekem allerlei persoonlijke gegevens over gebruikers en stuurt deze door naar een zogeheten Command & Control server.
De ontwikkelaar van FlyTrap maakt gebruik van social engineering. Dat is vorm van psychologische manipulatie waarbij hij nietsvermoedende slachtoffers weet aan te zetten tot bepaald gedrag door gebruik te maken van misleiding. Gedupeerden denken bijvoorbeeld een prijs te winnen, maar in werkelijkheid worden hun persoonsgegevens gestolen.
In het geval van FlyTrap bedacht de ontwikkelaar een malafide applicatie die tot de verbeelding van gebruikers sprak. Wie de app installeerde, kreeg zogenaamd kortingscoupons voor diensten als Netflix en Google AdWords. In een andere variant konden gamers op hun favoriete voetballer of voetbalteam stemmen, wat overeenkwam met de wedstrijd die EA had uitgeschreven voor hun nieuwste mobiele voetbalgame.
De schermen die worden weergegeven bij de installatie en lancering van de FlyTrap-trojans
Om deze coupons te verzilveren, moesten gebruikers zogenaamd inloggen op hun Facebook-account. In werkelijkheid was het niets meer dan een truc om hun inloggegevens van het platform, andere sociale media accounts, banken en cryptowallets buit te maken. Tevens konden de gekaapte accounts als botnet gebruikt worden, bijvoorbeeld om desinformatie te verspreiden, de publieke opinie te beïnvloeden of de populariteit van een product of website te manipuleren.
De grafische stroom van de FlyTrap-trojans die uiteindelijk naar de inlogpagina leiden
Inloggegevens, locatie en IP adres
Als de FlyTrap malware eenmaal is geïnstalleerd, vindt er een JavaScript Injection plaats. “Met deze techniek opent de toepassing de legitieme URL in een WebView die is geconfigureerd met de mogelijkheid om JavaScript-code te injecteren, en exporteert alle noodzakelijke informatie zoals sessiecookies, accountgegevens van gebruikers, geografische locatie en IP-adres door kwaadaardige JavaScript-code te injecteren”, aldus Zimperium.
Alle informatie die FlyTrap op deze manier verzamelt, wordt doorgestuurd naar de Command & Control server van de ontwikkelaar. De malafide applicatie heeft volgens het Zimperium zLabs Threat Research Team tot nu toe meer dan tienduizend slachtoffers in meer dan 140 landen gemaakt, waaronder in Nederland.
Nog steeds in omloop
Aanvankelijk werd FlyTrap via de Google Play Store en applicatiewinkels van derden verspreid. Zimperium meldde haar bevindingen bij de zoekmachinegigant en verwijderde daarop alle malafide applicaties die met FlyTrap waren uitgerust. Het cybersecuritybedrijf waarschuwt dat de kwaadaardige app nog steeds in omloop is en via sideloading geïnstalleerd kan worden.
Waarom FlyTrap zoveel slachtoffers heeft gemaakt, staat volgens Zimperium als een paal boven water. “Net als bij elke andere vorm van manipulatie, zijn de afbeeldingen van hoge kwaliteit en de officieel uitziende inlogschermen gebruikelijke tactieken om gebruikers aan te sporen actie te laten ondernemen die gevoelige informatie zou kunnen onthullen. In dit geval, terwijl de gebruiker zich aanmeldt op zijn officiële account, kaapt de FlyTrap Trojan de sessie-informatie voor kwaadaardige doeleinden.”
De onderzoekers van Zimperium zeggen dat de tools en technieken die FlyTrap gebruikt niet nieuw, maar wel effectief zijn. Smartphones bevatten vaak een schat aan informatie die interessant is voor hackers en cybercriminelen. Zij vrezen dat met een paar kleine aanpassingen FlyTrap getransformeerd kan worden tot een gevaarlijke Trojan die nog meer uiterst gevoelige informatie kan bemachtigen.
Bron: zimperium.com, vpngids.nl
Tips of verdachte activiteiten gezien? Meld het hier.
Malware gerelateerde berichten
Is de ‘NewProfilePic-app’ Russische malware?
De app 'New Profile Pic' staat zowel in de Apple App Store als in de Google Play Store op nummer één in de ranglijst van de populairste, meest gedownloade apps. Daarmee is de app momenteel dus populairder dan apps als Instagram, TikTok, Snapchat, YouTube en Messenger. Maar om deze app is momenteel het één en ander te doen: zo gaat het gerucht dat de app in werkelijkheid malware bevat van Russische makelij, dat gebruikers van de app slachtoffer worden van oplichting én dat de app data doorsluist naar het Kremlin. Hoe zit dat? In dit artikel leggen we het uit.
Hoe werkt de Apple, Google en Samsung Pay oplichtingstruc?
Oplichting via Apple Pay? Het kan! Criminelen zijn er namelijk in geslaagd om creditcardfraude via Apples betaaldienst te plegen. Ook Google Pay en Samsung Pay zijn kwetsbaar. De truc werkt via malware en vooralsnog zijn er geen Nederlandse slachtoffers bekend.
‘Pegasus spyware’ we horen er steeds meer over, maar wat is het?
Je moet er niet aan denken: iemand kan op afstand alle inhoud van je smartphone meelezen. Zonder dat je iets merkt en zonder dat je er iets tegen kunt doen. Een groot datalek verklapte het bestaan van dit soort malware: Pegasus. Waarbij de controverse vooral zit in het feit dat de surveillancemalware vooral gebruikt werd door overheden.
IsaacWiper en HermeticWizard: De malware combineert dus een wiper met ransomware en een worm
Het beveiligingsbedrijf ESET heeft meerdere types wiper-malware gevonden in Oekraïense systemen. Wiper-malware is een type malware dat schade aanricht aan een systeem, zichzelf vervolgens verwijdert en zijn sporen uitwist. Het idee is dat onderzoekers de malware dan niet kunnen vinden of kunnen herleiden tot een bron.
Stijging van ruim 47 procent met nieuwe malware
Er komen steeds meer verschillende soorten malware samples op de markt blijkt uit een analyse van G DATA CyberDefense. In totaal werden er vorig jaar meer dan 23,7 miljoen verschillende soorten malware samples geïdentificeerd. Dit staat gelijk aan bijna 65.000 nieuwe varianten malware per dag, oftewel 45 nieuwe aanvalsvectoren per minuut. Vergeleken met 2020 is dit een stijging van ruim 47 procent.
Toename gebruik van versleutelde verbindingen voor het afleveren van zerodays en malware
Het aantal malwarebesmettingen op eindpoints oversteeg in Q3 van 2021 al het totale volume van 2020. Ook het aantal zero-day-aanvallen met malware dat binnenkomt via versleutelde verbindingen is gestegen.