Theo Zimperium, FlyTrap là một kiểu trojan sử dụng kỹ nghệ xã hội để xâm phạm các tài khoản Facebook. Mã độc này giả dạng nhiều ứng dụng và được phân phối thông qua các trang mạng xã hội, trên Google Play Store cũng như các cửa hàng ứng dụng của bên thứ ba không an toàn, đánh lừa người dùng tải xuống trước khi đăng nhập bằng tài khoản Facebook của mình để được tặng mã phiếu giảm giá Netflix, Google AdWords và bình chọn cho các đội tuyển bóng đá cũng như cầu thủ yêu thích tại vòng chung kết UEFA EURO 2020.
Cụ thể, khi người dùng tải ứng dụng, một yêu cầu bắt buộc họ phải thực hiện đăng nhập tài khoản Facebook để bình chọn hoặc nhận mã giảm giá, mã độc sẽ tiến hành lây nhiễm trên thiết bị Android, từ đó kẻ tấn công có thể thu thập thông tin như ID Facebook, vị trí, địa chỉ email, địa chỉ IP của nạn nhân, các cookie và token được liên kết với Facebook. Những thông tin này sau đó được sử dụng để phát tán mã độc nguy hiểm hơn, lợi dụng nạn nhân trên mạng xã hội để gửi tin nhắn cá nhân có chứa liên kết đến trojan hoặc thực hiện các chiến dịch tuyên truyền hoặc thông sai lệch bằng cách sử dụng vị trí địa lý của nạn nhân.
Sau khi nhận được cảnh báo, Google đã xác minh và xóa các ứng dụng này khỏi cửa hàng Google Play. Tuy nhiên theo chuyên gia mã độc của Zimperium, Aazim Yaswant cho biết, vẫn còn một số ứng dụng có sẵn trên các nền tảng khác. Các ứng dụng độc hại có chứa FlyTrap bao gồm:
• GG Voucher (com.luxcarad.cardid)
• Vote European Football (com.gardenguides.plantingfree)
• GG Coupon Ads (com.free_coupon.gg_free_coupon)
• GG Voucher Ads (com.m_application.app_moi_6)
• GG Voucher (com.free.voucher)
• Chatfuel (com.ynsuper.chatfuel)
• Net Coupon (com.free_coupon.net_coupon)
• Net Coupon (com.movie.net_coupon)
• EURO 2021 Official (com.euro2021)
Các ứng dụng độc hại có chưa FlyTrap
FlyTrap sử dụng JavaScript để thu thập dữ liệu nhạy cảm của người dùng. “Sử dụng kỹ thuật này, các ứng dụng giả mạo mở trang đăng nhập Facebook hợp pháp bên trong WebView được cấu hình với khả năng chèn mã JavaScript độc hại, và trích xuất tất cả thông tin cần thiết như cookie, chi tiết tài khoản người dùng, vị trí và địa chỉ IP”, Yaswant giải thích.
FlyTrap sử dụng JavaScript để thu thập thông tin của người dùng
Những thông tin được thu thập sau đó sẽ được chuyển đến máy chủ điều khiển và kiểm soát (Command and Control – C&C) của FlyTrap. Bên cạnh đó, Zimperium đã phát hiện rằng một số máy chủ C&C này có nhiều lỗ hổng bảo mật có thể bị khai thác, để lộ toàn bộ cơ sở dữ liệu phiên cookie bị đánh cắp cho bất kỳ ai trên internet, do đó khiến nạn nhân gặp rủi ro cao hơn.
Yaswant chia sẻ rằng: “Những kẻ tấn công đang lợi dụng vào quan điểm có phần sai lầm tới từ người dùng rằng, chỉ cần đăng nhập vào đúng tên miền của trang web thì luôn được an toàn, bất kể trên ứng dụng nào được sử dụng. Chiến dịch với FlyTrap đặc biệt hiệu quả trong việc thu thập dữ liệu tài khoản của người dùng trên các trang mạng xã hội, tới từ 144 quốc gia. Những tài khoản này có thể được sử dụng như một mạng botnet cho nhiều mục đích, như tuyên truyền thông tin sai lệch hoặc các thông điệp chính trị khác nhau”.
Mặc dù không sử dụng thêm một kỹ thuật mới nào, FlyTrap vẫn có thể xâm nhập và chiếm đoạt được một số lượng đáng kể tài khoản Facebook, với một vài sửa đổi, nó có thể trở thành mối đe dọa nguy hiểm hơn đối với các thiết bị di động. Hơn nữa hiện vẫn còn những ứng dụng độc hại khác có sẵn trong các cửa hàng Android bên thứ ba, do đó, Zimperium cảnh báo rằng sẽ còn những nguy cơ tiềm ẩn và người dùng nên chú ý khi tải ứng dụng trên thiết bị của họ.