Un trojan ha consentito a un gruppo di cybercriminali del Vietnam di impossessarsi di oltre 100mila account di Facebook in oltre 144 nazioni. Le vittime sono state colpite cliccando su finti coupon
A oltre 10mila utenti in almeno 144 paesi sono stati compromessi i loro account di Facebook da un nuovo trojan Android che infetta i dispositivi tramite app fraudolente scaricate da Google Play Store e altri marketplace di app di terze parti.
Il trojan, soprannominato FlyTrap, fa parte di una famiglia di malware che utilizzano trucchi di social engineering per violare gli account di Facebook delle loro vittime. L’utilizzo di FlyTrap, secondo gli esperti di cybersecurity degli zLabs di Zimperium, farebbe parte di una campagna di dirottamento sessioni orchestrata da un gruppo di cybercriminali basati in Vietnam.
“Le prove forensi di questo attacco attivo di un trojan Android, che abbiamo chiamato FlyTrap, indicano che parti malintenzionate dal Vietnam hanno eseguito questa campagna di dirottamento delle sessioni da marzo 2021”, scrivono gli esperti degli zLabs.
FlyTrap rappresenta una minaccia per l’identità sociale della vittima dirottando l’account Facebook tramite un trojan che infetta il suo dispositivo Android. Le informazioni raccolte dal dispositivo Android della vittima includono il Facebook ID, la posizione, l’indirizzo email, l’indirizzo IP i cookie e i token associati all’account Facebook. Una volta dirottato, l’account di Facebook della vittima può essere utilizzato dagli aggressori per diffondere ulteriormente il malware abusando della credibilità sociale della vittima attraverso messaggi personali con collegamenti al Trojan, nonché distribuendo campagne di propaganda o disinformazione utilizzando i dettagli di geolocalizzazione della vittima.
Per far si che la vittima cada nella trappola gli aggressori utilizzano tecniche di phishing invitando a cliccare su link malevoli travestiti da codici per coupon gratuiti di Netflix o Google AdWords.
Sebbene Google Play Store abbia già rimosso le applicazioni dannose che ingannavano gli utenti, queste sono ancora disponibili sui repository degli app store non protetti di terze parti. Tramite Telegram, inoltre, molti gruppi condividono link ai coupon sopra citati inconsapevoli di essere parte di un sistema di divulgazione del trojan.
Come sempre, in questi casi, il consiglio di Wired è di diffidare di link sconosciuti, anche se inviati anche da persone fidate, che promettono promozioni gratuite per accedere a servizi in abbonamento.
Leggi anche