Neue FlyTrap-Malware in vielen Android-Apps stiehlt Facebook-Zugangsdaten – betrogen?!

In vielen Android-Apps ist Malware aufgetaucht, die die Anmeldeinformationen für Facebook-Konten stehlen kann. Tausende Nutzer in mindestens 144 Ländern sollen betroffen gewesen sein. In welchen Anwendungen wurde diese Malware gefunden? Wie funktioniert diese Malware? Und worauf sollten Sie achten?

Diese Android-Malware wurde letzten Montag entdeckt und veröffentlicht öffentlich gemacht Von Sicherheitsexperten von zLabs, einem Unternehmen des Cybersicherheitsunternehmens Zimperium. Sie haben Beweise dafür, dass Benutzer in mehr als 140 Ländern seit März von dieser Malware betroffen sind.

Die Forscher sagten, dass Malware in verschiedenen Formen vorkommt, aber im Allgemeinen gut implementiert und überzeugend ist. Das können zum Beispiel Apps sein, die Rabattcodes oder kostenlosen Zugang zu Netflix anbieten, Apps, die mit Google AdWords-Rabattcodes werben und fußballbezogene Apps, in denen Sie für die beste Fußballmannschaft oder den besten Spieler abstimmen können, zweifellos mit dem europäischen Spieler, der Kürzlich Turnier im Kopf gespielt.

Länder, in denen die FlyTrap-Malware für Android gefunden wurde

Zimperium (über blog.zimperium.com)

Länder, in denen die FlyTrap-Malware für Android gefunden wurde

Forscher haben herausgefunden, dass sich diese Malware mit ziemlicher Sicherheit aus Vietnam verbreitet. Malware findet sich in verschiedenen Anwendungen und wird über gehackte Facebook-Accounts, inoffizielle App-Stores und durch „Sideloading“, kurz das Übertragen von Dateien zwischen zwei Geräten beispielsweise über USB, Bluetooth oder WLAN, verbreitet.

aber das ist nicht alles. Auch im Google Play Store tauchten mit der FlyTrap-Malware infizierte Anwendungen auf. Google hat die Apps entfernt, nachdem die zLabs ihre Ergebnisse zu dieser Malware geteilt hatten, aber sie stehen immer noch zum Download aus inoffiziellen App-Stores zur Verfügung.

Welche genauen Android-Apps enthalten diese FlyTrap-Malware?

Laut zLabs bezieht es sich auf die folgenden Anwendungen. Und obwohl die EM nun vorbei ist und diese Anwendungen in dieser Hinsicht keinen Mehrwert mehr haben, erwähnen wir der Vollständigkeit halber auch die fußballbezogenen Anwendungen:

  • GG . Gutschein (com.luxcarad.carded)
  • Europäische Fußballabstimmung (com.gardenguides.plantingfree)
  • GG-Gutscheinanzeigen (com.free_coupon.gg_free_coupon)
  • GG . Coupon-Anzeigen (com.m_application.app_moi_6)
  • GG . Gutschein (com.free.gutschein)
  • Shuttleville (com.ynsuper.chatfuel)
  • Netto-Gutschein (com.free_coupon.net_coupon)
  • Netto-Gutschein (com.movie.net_coupon)
  • Offizielle EM 2021 (mit.euro2021)

Überraschenderweise sind diese Apps laut den Forschern im Allgemeinen von hoher Qualität. Es sind ordentlich aussehende und elegante Apps, die bewusst auf diese Weise entworfen wurden, weil sie die Wahrscheinlichkeit, Alarmglocken zu läuten, stark einschränken. Nachfolgend einige Beispiele:

Android-App-Beispiele mit neuer FlyTrap-Malware

ThreatPost.com (über Zimperium)

Android-App-Beispiele mit neuer FlyTrap-Malware

Die Macher dieser Schurken-Apps verwenden also „Social Engineering“: Indem sie den Eindruck erwecken, dass es sich um zuverlässige und professionelle/offizielle Apps handelt, hoffen sie, Sie dazu zu verleiten, Daten, in diesem Fall Ihre Facebook-Login-Daten, preiszugeben.

Wie genau funktioniert diese FlyTrap-Malware für Android?

Das Ziel in diesem Fall ist es, Ihre Facebook-Login-Daten zu stehlen. Aber diese Malware stiehlt mehr Informationen:

  • Facebook-ID (Benutzername)
  • Standortdaten
  • E-mailadressen
  • IP-Adressen
  • Cookies und Token, die mit Facebook-Konten verknüpft sind und die Angreifer hoffen, hacken zu können

Der letzte Punkt ist wichtig, da diese Informationen es Angreifern ermöglichen, sich bei Facebook-Konten anzumelden, deren Zugangsdaten gestohlen wurden. Und sie stehlen diese Daten, indem sie Sie auffordern, sich bei Facebook anzumelden, um die versprochene Belohnung (Rabattcodes) zu erhalten.

Im obigen Bild haben wir bereits einige Beispiele für Rogue-Anwendungen gesehen. Unten sehen Sie eine Reihe von Beispielen für einen betrügerischen App-Login-Prozess.

Melden Sie sich bei Facebook an, um Rabattcodes zu erhalten

Zimperium (über blog.zimperium.com)

Melden Sie sich bei Facebook an, um Rabattcodes zu erhalten

All dies ist eine Täuschung: Tatsächlich wird der Rabattcode überhaupt nicht generiert, da diese Anwendungen überhaupt nicht legitim und gut gemeint sind. Indem Sie angeben, dass der ‘Rabattcode’ bereits nach der Beantragung abgelaufen ist, aber bevor Sie ihn einlösen, ist die Absicht, dass Sie als Benutzer denken ‘Nun, Pech, ich muss zu spät gekommen sein’. Zu diesem Zeitpunkt verfügen sie jedoch bereits über Ihre Facebook-Kontodaten.

Haben sich die Angreifer in den Griff bekommen? Die Schadsoftware wird dann über die gehackten Facebook-Accounts verbreitet, beispielsweise in Form von privaten Nachrichten. Die Forscher erwähnen auch, dass gehackte Konten verwendet werden, um Fehlinformationen und Falschmeldungen zu verbreiten.

Entgegen der landläufigen Meinung müssen Sie sich nicht immer auf einer Phishing-Seite befinden, bevor Betrüger und andere böswillige Parteien Ihre Anmeldeinformationen stehlen können. Sitzungen und (sensible) Informationen können auch von der legitimen Domäne gestohlen werden. Laut den Forschern ist dies in diesem Fall der Fall, wobei eine Technik verwendet wird, die als “JavaScript-Injektion” bekannt ist.

Die echte Facebook-Anmeldeseite lädt in der Umgebung der bösartigen Anwendung, jedoch in der sogenannten WebView-Umgebung, die es dem Angreifer ermöglicht, per JavaScript sensible Informationen zu erbeuten. Auf diese Weise können die Entwickler dieser betrügerischen Apps Ihr Passwort, Ihre E-Mail-Adresse, Ihren Benutzernamen und die erforderlichen Cookies/Token stehlen.

Sie können mehr über die technische Seite der Dinge erfahren Weiterlesen Zimperium.

Quelle: Zimperium.com / ThreatPost.com

READ  EvdWL über Frauenspiele, Spielberichte und Tony Hawks Pro Skater

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.