FlyTrap adlı Android zararlısı, Facebook hesaplarını ele geçiriyor

Mobil cihazlar ve uygulama güvenliği alanında faaliyet gösteren siber güvenlik şirketi Zimperium tarafından yayınlanan rapora göre, FlyTrap adında yeni bir Android truva atı keşfedildi. Google Play mağazası ve üçüncü taraf uygulama mağazaları aracılığıyla dağıtılan kötü amaçlı uygulamaların,  Mart 2021’den bu yana en az 140 ülkeden 10 binden fazla kullanıcıyı etkilediği belirtiliyor.

Zimperium araştırma ekibinin yaptığı araştırmalar neticesinde, yakın zamanda FlyTrap bulaşmış ve daha önce tespit edilememiş Android uygulamaları keşfettiğini bildirdi. Yapılan analizlerden sonra kötü amaçlı yazılımın, Facebook hesaplarını tehlikeye atmak için sosyal mühendisliğe dayanan bir Truva atı ailesinin parçası olduğunu keşfetmişler.

Nasıl çalışıyor?

Tehdit aktörleri ücretsiz Netflix kupon kodları, Google AdWords kupon kodları ve en iyi futbol (futbol) takımına veya oyuncusuna oy verme gibi kullanıcıların çekici bulacağı çeşitli temalardan yararlanmışlar.

Bu temalar vasıtasıyla da kullanıcılara, oy kullandıktan sonra bu temalara uygun hediyeler vermeyi vaat etmişler. Ancak zararlı yazılım uygulamaları vaat edilen hediyeleri dağıtmadan önce, kullanıcılara Facebook hesaplarıyla giriş yapmalarını istemiş.

Ele geçirilen hesapların android cihazlarından ise Facebook kimliği, lokasyon bilgisi, IP adresi, mail adresi ve Facebook hesabıyla ilişkili çerez ve Jeton bilgilerini topladığı belirtiliyor. Ele geçirilen hesaplardaki kullanıcıların arkadaş listeleri vasıtasıyla hazırladıkları zararlı yazılımları, spam kampanyalarını vs. çok daha kolay yayabilir ve hedef kitleyi çok daha fazla genişletebilirler. Bunun yanında coğrafi bilgileri kullanarak propaganda veya dezenformasyon kampanyaları da yayabilirler.

FlyTrap Truva Atı Kurbanları

Zimperium zLabs mobil tehdit araştırma ekibi, bugüne kadar 144 ülkede 10.000’den fazla kurban bulmuş ve bu sonuçlarla birlikte sosyal mühendislik kampanyalarının ne kadar etkili olduğunu bir kez daha görmüşler. Listede Türkiye’nin de olduğu görülüyor.

Google, bildirilen uygulamaları kaldırdı

Zimperium zLabs’ın uyarı vermesinin ardından kötü amaçlı uygulamaların, Google tarafından uygulama mağazasından kaldırıldığı belirtiliyor. Ancak, kötü amaçlı uygulamaların üçüncü taraf uygulama mağazalarında hala mevcut olduğu da belirtiliyor. Araştırmacılar, ortaya çıkan yeni bulgulardan sonra üçüncü taraf mağazalardan uygulama indirme ve yüklemedeki tehlikeleri konusunda bir kez daha uyarıyor. Uygulamların listesi:

GG Voucher (com.luxcarad.cardid)
Vote European Football (com.gardenguides.plantingfree)
GG Coupon Ads (com.free_coupon.gg_free_coupon)
GG Voucher Ads (com.m_application.app_moi_6)
GG Voucher (com.free.voucher)
Chatfuel (com.ynsuper.chatfuel)
Net Coupon (com.free_coupon.net_coupon)
Net Coupon (com.movie.net_coupon)
EURO 2021 Official (com.euro2021)