Как информируют эксперты из компании Zimperium, андроид-малварь FlyTrap перехватывает контроль над аккаунтами социальной сети Фейсбук в 140 государствах, при этом она ворует сессионные cookie-файлы. Но это еще не все: исследователи также установили, что похищенными сведениями может воспользоваться каждый, кто воспользовался бы управляющим сервером этой андроид-малвари.
По словам специалистов, FlyTrap занимается своей неблаговидной деятельностью уже почти пять месяцев. Кибермошенники применяют ПО-приманки, предлагаемые потенциальным жертвам в Google Play и прочие онлайн-ресурсы с приложениями для Андроид. Чаще всего подобного рода «наживка» соблазняет юзера бесплатными купонами (для Netflix, Google AdWords и проч.) либо возможностью проголосовать за любимую футбольную игрока или спортсмена.
Чтобы сделать это, заманиваемому пользователю нужно залогиниться в приложении через свои учетные данные Фейсбука. При этом жертву проверяет настоящий домен Фейсбука. Но поскольку малварь пользуется подлинный SSO этой соцсети, у нее отсутствует возможность прямого присвоения учетных данных жертвы. Поэтому FlyTrap использует инъекцию JavaScipt, чтобы собирать другие закрытые сведения о пострадавшем от внедрения малвари лице.
Полученные этим путем данные транслируются на управляющий сервер кибермошенников. К сегодняшнему дню от их действия пострадали свыше 10 тысяч пользователей Андроид. Эту статистику специалисты получили с сервера самих хакеров, поскольку оказалось, что доступ к нему открыт для кого угодно.
Эксперты напоминают, что фишинговые страницы, которые похищают данные аккаунтов, - всего лишь одно из направления мошеннической деятельности в сети. Помните, что используя ваши пароли от соцсетей для аутентификации в других места, вы сильно рискуете.
