По данным специалистов компании Zimperium, Android-малварь FlyTrap захватывает учетные записи Facebook в 140 странах мира, похищая сессионные файлы cookie. Хуже того, исследователи обнаружили, что украденная информация была доступна любому, кто нашел бы управляющий сервер FlyTrap.
Аналитики считают, что малварь активна как минимум с марта 2021 года. Злоумышленники используют приложения-приманки, распространяемые через Google Play и сторонние магазины приложений для Android. Как правило, такая приманка предлагает пользователю бесплатные купоны (для Netflix, Google AdWords и так далее) или предлагает проголосовать за любимую футбольную команду и игрока Евро-2020.
Для этого жертве якобы нужно войти в приложение с использованием учетных данных Facebook, и аутентификация происходит через легитимный домен социальной сети. Так как вредоносные приложения используют настоящий SSO Facebook, они не могут напрямую собирать учетные данные пользователей. Вместо этого FlyTrap применяет JavaScript-инъекцию для сбора других конфиденциальных данных.
Аналитики считают, что малварь активна как минимум с марта 2021 года. Злоумышленники используют приложения-приманки, распространяемые через Google Play и сторонние магазины приложений для Android. Как правило, такая приманка предлагает пользователю бесплатные купоны (для Netflix, Google AdWords и так далее) или предлагает проголосовать за любимую футбольную команду и игрока Евро-2020.
Для этого жертве якобы нужно войти в приложение с использованием учетных данных Facebook, и аутентификация происходит через легитимный домен социальной сети. Так как вредоносные приложения используют настоящий SSO Facebook, они не могут напрямую собирать учетные данные пользователей. Вместо этого FlyTrap применяет JavaScript-инъекцию для сбора других конфиденциальных данных.
Собранная таким способом информация передается на управляющий сервер злоумышленников. На данный момент жертвами этой вредоносной кампании стали более 10 000 пользователей Android в 144 странах мира.
