I ricercatori di Zimperium hanno pubblicato una dettagliata analisi sul funzionamento del malware FlyTrap, una minaccia che è comparsa in rete a marzo 2021 e che ha mietuto vittime in oltre 140 Paesi.
La prerogativa di FlyTrap è che si tratta di un malware in grado di attaccare gli account Facebook senza conoscere le credenziali di accesso. Com’è possibile? È interessante scoprirlo per evitare di cadere nella trappola.
Per diffondersi e violare gli account Facebook degli utenti FlyTrap utilizza applicazioni distribuite attraverso Google Play Store oltre che su piattaforme di terze parti.
Zimperium spiega che i criminali informatici utilizzano efficaci tecniche di ingegneria sociale per intrappolare gli utenti: l’esca consiste nel proporre codici coupon gratuiti per Netflix, Google AdWords e altre piattaforme attraverso varie app installate sui dispositivi Android (c’era anche una falsa app “Euro 2021” per votare squadre e giocatori preferiti).
Per ottenere “il premio” viene chiesto di effettuare il login con il proprio account Facebook: gli utenti non si insospettivano perché l’autenticazione via OAuth avveniva sul dominio legittimo. Non si trattava di una pagina phishing creata con lo scopo di indurre il malcapitato a inserire username e password dell’account Facebook.
Come ha fatto allora FlyTrap a impossessarsi delle credenziali degli utenti se la procedura di single sign-on (SSO) utilizzata è proprio quella di Facebook?
Semplice. L’applicazione apre l’URL legittimo all’interno di una WebView configurata con la capacità di iniettare codice JavaScript ed estrae informazioni come i cookie, i dettagli dell’account utente, la sua posizione e l’indirizzo IP.
Rubando il cookie di sessione il gioco è fatto: gli aggressori possono interagire con l’account Facebook altrui senza effettuare un login con l’inserimento di nome utente e password.
Nonostante non utilizzi una tecnica nuova, FlyTrap è comunque riuscito a consegnare le chiavi per l’accesso a un numero significativo di account Facebook: si calcola che siano almeno 10.000. E secondo Zimperium con alcune modifiche FlyTrap potrebbe trasformarsi in una minaccia ancora più pericolosa.
L’azienda che ha studiato la minaccia (collabora con Google per migliorare le abilità di riconoscimento di Play Protect) spiega di essere riuscita a mettere sotto la lente FlyTrap perché il server command and control che riceveva i dati sottratti agli utenti soffriva di molteplici vulnerabilità.
Nel frattempo Google ha già rimosso tutte le app malevole dal suo store ma alcune di esse continuano ad essere installabili attraverso piattaforme di terze parti. Non è inoltre escluso che FlyTrap possa rientrare dalla finestra nel Play Store camuffandosi in altre applicazioni.
Se si sospettasse qualcosa o comunque per maggiore sicurezza, una buona idea consiste nell’effettuare il logout dal proprio account Facebook. In questo modo si invaliderà il contenuto del cookie di sessione eventualmente sottratto dagli aggressori.
È inoltre essenziale verificare periodicamente e rimuovere le app superflue collegate con l’account Facebook.