OzzTech - Android Kötü Amaçlı Yazılım ‘FlyTrap’ Facebook Hesaplarını Ele Geçiriyor

Android Kötü Amaçlı Yazılım ‘FlyTrap’ Facebook Hesaplarını Ele Geçiriyor

FlyTrap

Netlifx veya Google AdWords için kupon kodları? En iyi futbol takımına mı oy veriyorsunuz? Dikkat: Bu tür girişler sunan kötü amaçlı uygulamalar yeni bir truva atına neden olabilir. Araştırmacılar, üçüncü taraf uygulama mağazalarındaki hileli uygulamalar, yandan yüklenen uygulamalar ve ele geçirilen Facebook hesapları aracılığıyla 10.000'den fazla kurbana yayılan FlyTrap adlı yeni bir Android truva atını ortaya çıkardı.

Pazartesi günü yayınlanan bir raporda , Zimperium'un zLabs mobil tehdit araştırma ekipleri, FlyTrap'in Google Play mağazası ve üçüncü taraf uygulama pazarları aracılığıyla dağıtılan kötü amaçlı uygulamalar aracılığıyla Mart ayından bu yana en az 144 ülkeye yayıldığını yazdı. Araştırmacılar, Vietnam dışında çalışan operatörlerin izini sürdüğü kötü amaçlı yazılımın, Facebook hesaplarını ele geçirmek için sosyal mühendisliği kullanan bir truva atı ailesinin parçası olduğunu söyledi.

Oturum kaçırma kampanyası, başlangıçta Google Play ve üçüncü taraf uygulama mağazaları aracılığıyla dağıtıldı. Google Play, Zimperium zLabs'ın uyarı vermesinin ardından kötü amaçlı uygulamaları kaldırdı.

Ancak yine de üçüncü taraf, güvenli olmayan uygulama mağazalarında dağıtılıyorlar ve “yandan yüklenen uygulamaların mobil uç noktalara ve kullanıcı verilerine riskini vurguluyor” diye belirtti Zimperium.

Bunlar dokuz kötü uygulama:

  • GG Kuponu (com.luxcarad.cardid)
  • Avrupa Futboluna Oy Ver (com.gardenguides.plantingfree)
  • GG Kupon Reklamları (com.free_coupon.gg_free_coupon)
  • GG Kupon Reklamları (com.m_application.app_moi_6)
  • GG Kuponu (com.free.voucher)
  • Chatfuel (com.ynsuper.chatfuel)
  • Net Kupon (com.free_coupon.net_coupon)
  • Net Kupon (com.movie.net_coupon)
  • EURO 2021 Resmi (com.euro2021)

FlyTrap'te Nasıl Takılırsınız?

Tehdit aktörleri, çeşitli girişler kullanır: Ücretsiz Netflix kupon kodları, Google AdWords kupon kodları ve en iyi futbol/futbol takımı veya oyuncusu için oylama. Sadece cazip değiller; yüksek kaliteli grafiklerle de çok beceriklidirler - sahne arkasında yaptıklarını gizlemek için daha iyi.

zLabs araştırmacıları, "Herhangi bir kullanıcı manipülasyonu gibi, yüksek kaliteli grafikler ve resmi görünümlü giriş ekranları, kullanıcıların hassas bilgileri ortaya çıkarabilecek eylemlerde bulunmalarını sağlamak için yaygın taktiklerdir" dedi. "Bu durumda, kullanıcı resmi hesabına giriş yaparken FlyTrap Truva Atı, oturum bilgilerini kötü niyetli amaçlarla ele geçiriyor."

Kötü uygulamalar, Netflix ve Google AdWords kupon kodları sunmayı veya kullanıcıların 11 Temmuz'da (COVID-19 tarafından bir yıl ertelenen) sona eren dört yıllık Avrupa futbol şampiyonası UEFA EURO 2020'de favori takımları ve oyuncuları için oy kullanmalarına izin vermeyi amaçlıyor. Ancak öncelikle, kötü amaçlı yazılım uygulamaları vaat edilen hediyeleri dağıtmadan önce, hedeflenen kullanıcılara Facebook hesaplarıyla oturum açarak oy kullanmaları veya kupon kodu veya kredileri toplamaları söylenir.

Elbette, ücretsiz Netflix veya AdWords kuponları veya kodları yoktur ve yapılacak en iyi futbol oylaması yoktur. Bunun yerine, kötü amaçlı uygulamalar Facebook kimlik bilgilerinin hemen ardından gelir. Aşağıdaki ekran görüntülerinde gösterildiği gibi kuponun veya kodun süresinin "kullanıldıktan sonra ve harcamadan önce" dolduğunu söyleyen bir mesaj göndererek meşru görünmek için son bir girişimde bulunurlar.

FlyTrap Meşgul Ediyor

Kafası karışmış bir Android kullanıcısı Facebook kimlik bilgilerini ele geçirdikten sonra, uygulamalar aşağıdakileri içeren ayrıntıları dağıtmakla meşgul olur:

  • Facebook kimliği
  • Konum
  • IP adresi
  • Facebook hesabıyla ilişkili çerezler

Ardından, truva atı, dokunaçlarını yaymak için mağdur hesapları kullanarak, hak sahiplerinin meşru gönderiler paylaşıyormuş gibi görünmesini sağlayarak şunları söyledi: “Bu ele geçirilen Facebook oturumları, kişisel mesajlaşma yoluyla kurbanın sosyal güvenilirliğini kötüye kullanarak kötü amaçlı yazılımı yaymak için kullanılabilir. Truva Atı ile bağlantıların yanı sıra kurbanın coğrafi konum ayrıntılarını kullanarak propaganda veya dezenformasyon kampanyaları yaymak” diye yazdılar. "Bu sosyal mühendislik teknikleri, dijital olarak bağlantılı dünyada oldukça etkilidir ve siber suçlular tarafından kötü amaçlı yazılımları bir kurbandan diğerine yaymak için sıklıkla kullanılır."

Benzer kampanyalar arasında, yıllarca Facebook'un reklam platformunu hedef alan ve güvenliği ihlal edilmiş hesapları kötü niyetli reklamları tanıtmak, tarayıcı çerezlerini çalmak ve daha fazlası için kullanarak kullanıcıların reklam hesaplarından 4 milyon doları sömüren Çinli aktörlerle bağlantılı bir kötü amaçlı yazılım kampanyası olan SilentFade bulunmaktadır . Daha yakın bir zamanda, benzer bir kötü amaçlı yazılımın ( CopperStealer adlı bir parola ve çerez hırsızının) 2019'dan beri Amazon, Apple, Google ve Facebook hesaplarını ele geçirdiği ve ardından bunları ek siber suç faaliyetleri için kullandığı tespit edildi.

FlyTrap Nasıl Yakalanır?

FlyTrap , orijinal ve yasal etki alanında oturum açarak oturumları ele geçirmek için JavaScript enjeksiyonunu kullanır . Kötü uygulamaları, yasal etki alanını bir Web Görünümü içinde açar ve ardından hedeflenen bilgilerin (ör. çerezler, kullanıcı hesabı ayrıntıları, konum ve IP adresi) çıkarılmasını sağlayan kötü amaçlı JavaScript kodu enjekte eder.

FlyTrap'in komut ve kontrol (C2) sunucusu, toplanan verilere erişim yetkisi vermek için çalınan oturum açma kimlik bilgilerini kullanır. Ancak durum daha da kötüye gidiyor: zLabs, C2 sunucusunun, çalınan oturum çerezlerinin tüm veritabanını "internetteki herkese" ifşa etmek için istismar edilebilecek bir yanlış yapılandırmaya sahip olduğunu ve bunun da kurbanları daha da tehlikeye atacağını söyledi.

zLabs, FlyTrap'in binlerce kurbanı tuzağa düşürdüğü 144 ülkeyi gösteren aşağıdaki haritayı sağladı.

Araştırmacılar, mobil cihazlardan kimlik bilgilerinin çalınmasıyla ilgili yeni bir şey olmadığını belirtti: Sonuçta, mobil uç noktalar "genellikle sosyal medya hesaplarına, bankacılık uygulamalarına, kurumsal araçlara ve daha fazlasına korumasız oturum açma bilgilerinin hazinesidir."

Aslında, FlyTrap'in araçları ve teknikleri o kadar etkili ki, kötü niyetli bir aktör onu alır ve daha da kritik bilgilerin peşinden gitmek için onu - veya "başka bir truva atını" - değiştirirse şaşırmayın, dediler.

Android'inizi Nasıl Korursunuz?

Zimperum'un uç nokta güvenliği ürün pazarlama direktörü Richard Melick, Pazartesi günü Threatpost'a, Android kullanıcılarının güvenilmeyen bir kaynaktan herhangi bir uygulamanın yüklenmesine izin vermeyerek virüs bulaşma şanslarını hemen azaltabileceklerini söyledi.

Bir e-postada, çoğu Android cihazında ayar varsayılan olarak kapalı olsa da, sosyal mühendislik tekniklerinin "kullanıcıları buna izin vermeleri için kandırmada oldukça etkili" olduğunu söyledi.

Android'de bilinmeyen kaynakları devre dışı bırakmak için ayarlara gidin, "güvenlik"i seçin ve "bilinmeyen kaynaklar" seçeneğinin seçili olmadığından emin olun.

Melick ayrıca, kullanıcıların tüm sosyal medya hesapları ve hassas ve özel verilere erişimi olan diğer hesaplar için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmesini tavsiye etti.

"Bu, bu tür bir saldırıyı durdurmazken, coğrafi tabanlı uyarılar gibi ek güvenlik katmanları ekler", diye tavsiyede bulundu, yani "Bu hesap Vietnam'dan giriş yapmaya çalışıyor."

Bir Android kullanıcısı, bir Facebook hesabının kötü niyetli bir tarafa bağlandığından şüphelenirse, tüm cihazlarda tüm hesaplardan çıkış yapmak için Facebook talimatlarını izlemesini, şifrelerini hemen değiştirmesini ve henüz kullanımda değilse MFA'yı etkinleştirmesini söyledi.

Melick, genel olarak, kapmak için kullanılan uygulamalardan şüphelenmenizi tavsiye etti. “Genel olarak, bir uygulamanın ne istediğinin farkında olmakla ilgilidir” diye gözlemledi. “Kupon veya fırsata erişmek için sosyal medya hesaplarınızı bağlamanız gerekiyorsa, duraklayın ve nedenini sorun. Bu site/kupon şirketi şimdi bu verileri ne için kullanabilir? Hesabınızla ne yapabilecekler? Sana bir anlaşma yapmak için buna gerçekten ihtiyaçları var mı? Bağlantı kurulduktan sonra verileriniz sizin izniniz olmadan kolayca alınabilir ve kullanılabilir.”


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.