תוכנה זדונית חדשה המופצת באנדרואיד "חוטפת" חשבונות פייסבוק

תוכנה זדונית הפועלת במערכת ההפעלה אנדרואיד, ועונה לשם FlyTrap (מלכודת זבובים), חוטפת חשבונות פייסבוק ב-140 מדינות ברחבי בעולם, על ידי גניבת עוגיות הפעלה, כך גילו חוקרים מחברת Zimperium. בנוסף, וגרוע מכך, החוקרים מצאו כי המידע הגנוב זמין לכל מי שמצא את שרת C&C של FlyTrap.

לפי הדיווחים, חוקרי zLabs – צוות מחקר האיומים על ניידים של Zimperium – מאמינים שהתוכנה הזדונית פעילה כבר ממרץ 2021 לכל הפחות.

התוקפים משתמשים בתוכנות "פיתוי" המופצות דרך ה-Google Play וחנויות אפליקציות אנדרואיד של צד שלישי. פיתיון שכזה מציע למשל למשתמש קופונים בחינם (עבור שירותי נטפליקס, גוגל אדוורדס וכן הלאה) או אפשרות להצביע לשחקני כדורגל אהובים או לנבחרת היורו הנערצת באפליקציות "בחירות". ברגע שהמשתמש מתקין אפליקציה שכזו במכשירו ה"חגיגה" מתחילה.

שמות האפליקציות שהתגלו כמפיצות את התוכנה הזדונית הם: GG Voucher, Vote European Football, GG Coupon Ads, GG Voucher Ads, GG Voucher, Chatfuel, Net Coupon, או EURO 2021 Official.

ההאקרים משתלטים עליו ומנצלים אותו. חשבון פייסבוק. צילום אילוסטרציה: BigStock

התוכנה הזדונית פועלת דווקא עם אישורי פייסבוק אותנטיים

למעשה מה שקורה הוא שבכדי לפדות את הקופונים, הקורבן צריך, לכאורה, להיכנס לאפליקציה באמצעות אישורי פייסבוק. האימות הזה מתבצע דווקא באמצעות הדומיין הלגיטימי של הרשת החברתית, ולא באחד מזויף. מכיוון שהאפליקציות הזדוניות משתמשות ב-SSO אמיתי של פייסבוק, הן אינן יכולות לאסוף ישירות אישורי משתמשים. במקום זאת, FlyTrap משתמשת בהזרקת JavaScript, כדי לאסוף נתונים רגישים אחרים.

"האפליקציה פותחת כתובת URL אמיתית בתוך WebView המוגדרת באמצעות הזרקת JavaScript, המאפשרת לאחזר את כל המידע הדרוש לה, כולל עוגיות, פרטי חשבון משתמש, פרטי מיקום וכתובת IP", הסבירו החוקרים את ה"תרגיל" של הזודנה.

המידע שנאסף בדרך זו מועבר לשרת הפקודה והשליטה של התוקפים. כרגע יותר מ-10,000 משתמשי אנדרואיד ב-144 מדינות בעולם הפכו לקורבנות של הקמפיין הזדוני החדש יחסית הזה.

באופן מתמיה למדי – הנתונים והמספרים המדויקים הללו חולצו מהשרת של הפושעים עצמם, שכן החוקרים גילו שכל אחד יכול לקבל גישה אליו. לדברי מומחים, לשרת FlyTrap C&C היו נקודות תורפה רבות, שהקלו על הגישה למידע המאוחסן עליו.

החוקרים מדגישים כי דפי פישינג שגונבים אישורי כניסה וסיסמאות הם לא הכלי היחיד בו משתמשים האקרים כדי לרמות אותנו כיום, כפי שמדגים המקרה של FlyTrap – גם כניסה דרך דומיין לגיטימי יכולה להיות מסוכנת.

לפי פוסט של zLabs, "האפליקציה לנייד מהווה איום על זהותו החברתית של הקורבן, על ידי חטיפת חשבונות הפייסבוק שלו באמצעות סוס טרויאני שמדביק את מכשיר האנדרואיד שלו".

החוקרים ציינו כי המידע שנאסף ממכשיר האנדרואיד של הקורבן כולל: מזהה פייסבוק, מיקום, כתובת דוא"ל, כתובת IP, עוגיות ואסימונים המשויכים לחשבון הפייסבוק של המשתמש.

החוקרים סבורים כי אחרי החטיפה יכולים בעצם ההאקרים לעשות שימוש בזהות הגנובה, ובאמינותה החברתית, בכדי להפיץ את התוכנה הזדונית הלאה "באמצעות הודעות אישיות עם קישורים לסוס הטרויאני, כמו גם הפצת קמפייני תעמולה או דיסאינפורמציה, תוך שימוש בפרטי המיקום הגיאוגרפי של הקורבן". החוקרים הוסיפו וציינו כי "טכניקות הנדסה חברתיות אלו יעילות ביותר בעולם המחובר דיגיטלית, ומשמשות לעתים קרובות פושעי רשת להפצת תוכנות זדוניות מקורבן אחד לאחר".