Un nouveau cheval de Troie Android a compromis les comptes Facebook de plus de 10 000 utilisateurs dans au moins 144 pays depuis mars 2021. La campagne de piratage a été menée avec des applications frauduleuses distribuées via Google Play Store et d’autres boutiques d’applications tiers.
FlyTrap distribué via neuf applications
Surnommé FlyTrap, le Malware jusque-là non documenté ferait partie d’une famille de chevaux de Troie qui utilisent des astuces d’ingénierie sociale pour violer les comptes Facebook. Selon les l’équipe de recherche de Zimperium’s (fournisseur de solutions de sécurité mobiles), ces attaques entrent dans le cadre d’une campagne de piratage de session (de compte Facebook par exemple) orchestrée par des acteurs malveillants opérant à partir du Vietnam.
Selon Aazim Yaswant, chercheur en logiciels malveillants chez Zimperium, les neuf applications incriminées ont depuis été retirées de Google Play. Néanmoins, celles-ci restent disponibles dans les magasins d’applications tiers. Cela signifie que les risques de téléchargement d’applications sur les terminaux mobiles sont encore bien réels. GG Voucher,Vote European Football, GG Coupon Ads, GG Voucher Ads, GG Voucher, Chatfuel, Net Coupon, Net Coupon et EURO 2021 Official sont les neuf applications mises en cause.
Le mode de fonctionnement du Malware
Le logiciel malveillant est équipé pour voler l’identifiant Facebook, la localisation, l’adresse email, l’adresse IP, les cookies et jetons associés au compte Facebook de la victime. Cela permet ainsi à l’auteur de la menace de mener des campagnes de désinformation en utilisant les détails de géolocalisation de la victime. Cette méthode lui permet aussi de propager davantage le Malware via des techniques d’ingénierie sociale en envoyant des messages personnels contenant des liens vers le cheval de Troie.
Ceci est réalisé en utilisant une technique appelée injection JavaScript. L’application ouvre l’URL légitime dans une WebView configurée avec la possibilité d’injecter du code JavaScript avant d’extraire les informations du compte de la victime. Les données filtrées sont hébergées sur une infrastructure de commande et de contrôle (C2). Les failles de sécurité trouvées dans le serveur C2 pourraient être exploitées pour exposer l’intégralité de la base de données des cookies de session volés à quiconque sur Internet. Cela met les victimes en danger.
Les plateformes de médias sociaux populaires sont les principales cibles. Cette campagne a été exceptionnellement efficace pour collecter les données de session sur les médias sociaux des utilisateurs de 144 pays. Ces comptes peuvent être utilisés comme un botnet à différentes fins : augmenter la popularité des pages/sites/produits, répandre de la désinformation, faire de la propagande, etc.
- Partager l'article :