This post is also available in: Português Español
Novo trojan, FlyTrap, chega a 140 países através das redes sociais, atingindo mais de 10 mil usuários do Android
Não poderia ser mais adequado o nome do novo trojan que já fez milhares de vítimas do Android: FlyTrap, que pode ser traduzido como “armadilha de moscas”. Afinal, o malware é mesmo uma armadilha; as vítimas são convencidas a baixar apps por meio de designs enganosos, e então acabam inserindo informações de login do Facebook para votar em algo ou coletar códigos de cupom falsos.
Quem descobriu – e batizou – o trojan foi a empresa de segurança cibernética Zimperium, que divulgou um relatório na segunda-feira explicando como o malware foi capaz de atingir mais de 10 mil vítimas em 144 países. Ele vem se espalhando por meio de sequestro de mídia social e lojas de aplicativos de terceiros desde março.
O FlyTrap usa truques de engenharia social para comprometer as contas do Facebook. Assim, sequestra perfis de mídia social infectando dispositivos Android, permitindo que os invasores coletem informações das vítimas, como ID do Facebook, localização, endereço de e-mail e endereço IP, bem como cookies e tokens vinculados à sua conta do Facebook.
Essas sessões sequestradas do Facebook podem ser usadas para espalhar o malware abusando da credibilidade social da vítima por meio de mensagens pessoais com links para o Trojan, bem como divulgação de propaganda ou campanhas de desinformação usando os detalhes de geolocalização da vítima.
São técnicas de engenharia social altamente eficazes, e costumam ser usadas por cibercriminosos para espalhar malware de uma vítima para outra. Os agentes da ameaça usaram vários temas que os usuários consideram atraentes, como por exemplo códigos de cupons gratuitos da Netflix e votação no melhor time ou jogador de futebol.
Além disso, o conteúdo malicioso do FlyTrap pode ser distribuído usando o Google Play e outras lojas de aplicativos. Entretanto, o Google recebeu um relatório sobre o malware e já removeu todos os aplicativos suspeitos da loja.
Fugindo do mal
Os pesquisadores explicaram que o malware usa uma técnica chamada “injeção de JavaScript”, que permite ao aplicativo abrir URLs legítimas dentro de um “WebView configurado com a capacidade de injetar código JavaScript”. O aplicativo então extrai informações como cookies, detalhes da conta do usuário, localização e endereço IP, injetando código JS malicioso.
A Zimperium sugere que os usuários do Android encontrem maneiras de verificar se algum aplicativo em seu dispositivo tem o FlyTrap, e observou que essas contas violadas podem ser usadas como botnet para outros fins, como aumentar a popularidade de certas páginas ou sites artificialmente.
“Isso é apenas mais um exemplo das ameaças contínuas e ativas contra dispositivos móveis com o objetivo de roubar credenciais. Celulares, tablets e smartwatches costumam ser tesouros de informações de login desprotegidas para contas de mídia social, aplicativos bancários, ferramentas empresariais e muito mais”, disseram os pesquisadores da Zimperium.
Bom e velho
Chama atenção também o fato de que as ferramentas e técnicas usadas pelo FlyTrap não são novas. Entretanto, são eficazes devido à falta de segurança avançada de endpoint móvel nesses dispositivos. Assim, não é improvável que um cracker pegue o FlyTrap e o modifique para capturar informações ainda mais vitais.
Setu Kulkarni, vice-presidente da NTT Application Security, disse que o FlyTrap é uma “combinação bacana” de um punhado de vulnerabilidades que aproveita a abundância de metadados abertos para acesso, como localização, bem como a confiança implícita que pode ser obtida por associações inteligentes, porém duvidosas, com empresas como Google, Netflix e outras.
“Este não é nem mesmo o ponto mais preocupante. O que assusta é o efeito de rede que esse tipo de trojan pode gerar ao se espalhar de um usuário para muitos. Além disso, como afirma o resumo das descobertas do Zimperium, o FlyTrap pode evoluir para exfiltrar informações mais críticas, como credenciais bancárias “, disse Kulkarni.
Contudo, os cenários hipotéticos não terminam aí. Não faltam questionamentos sobre o que aconteceria se esse tipo de trojan fosse transformado em um ransomware que atingisse centenas de milhares de celulares. E tudo começa com um usuário que é atraído a clicar em um link – o que reforça a importância do fator humano no combate ao cibercrime.
This post is also available in: Português Español
