FlyTrap, il malware Android che ha compromesso migliaia di account Facebook

Attivo dal marzo scorso il malware è stato distribuito anche tramite il Google Play Store, scopriamo come funziona e come proteggervi.

Avatar di Luca Zaninello

a cura di Luca Zaninello

Managing Editor

È stato scoperto un nuovo tipo di malware Android che ha colpito decine di migliaia di utenti compromettendone gli account Facebook. Attivo dal marzo scorso e distribuito anche tramite il Google Play Store è stato ribattezzato FlyTrap, scopriamo come funziona e come proteggervi.

FlyTrap è un malware Android che non era mai stato documentato in precedenza. Si crede faccia parte di una famiglia di trojan che sfrutta trucchi di ingegneria sociale per violare gli account Facebook come parte di una campagna di dirottamento della sessione orchestrata da aggressori informatici che operano dal Vietnam, secondo un rapporto pubblicato dagli zLabs di Zimperium

Nonostante le 9 applicazioni infette originali siano state già rimosse dal Google Play Store sembra che esse stiano ancora circolando tramite i negozi di app di terze parti. Ecco la lista di app che dovreste immediatamente rimuovere se presenti sul vostro smartphone:

  • GG Voucher (com.luxcarad.cardid)
  • Vote European Football (com.gardenguides.plantingfree)
  • GG Coupon Ads (com.free_coupon.gg_free_coupon)
  • GG Voucher Ads (com.m_application.app_moi_6)
  • GG Voucher (com.free.voucher)
  • Chatfuel (com.ynsuper.chatfuel)
  • Net Coupon (com.free_coupon.net_coupon)
  • Net Coupon (com.movie.net_coupon)
  • EURO 2021 Official (com.euro2021)

Le app infette sostengono di offrire codici coupon per Netflix e Google AdWords oppure permettono agli utenti di votare per le proprie squadre e i giocatori preferiti di UEFA EURO 2020, a condizione di accedere con l'account Facebook per inviare il voto e raccogliere il codice coupon o i crediti.

Una volta che un utente accede all'account, il malware è in grado di rubare l'ID Facebook della vittima, la posizione, l'indirizzo email, l'indirizzo IP, i cookie e i token associati al profilo Facebook, consentendo così all'attore della minaccia di effettuare campagne di disinformazione utilizzando i dettagli di geolocalizzazione della vittima o propagare ulteriormente il malware attraverso tecniche di ingegneria sociale inviando messaggi personali contenenti link al trojan.

Si stima che ad oggi siano stati colpiti oltre 10.000 utenti in almeno 144 Paesi sparsi per il mondo, con la campagna che si stima abbia avuto inizio a marzo 2021.

"Gli aggressori stanno facendo leva sull'errata convinzione degli utenti che l'accesso al dominio giusto sia sempre sicuro, indipendentemente dall'applicazione utilizzata per accedere", ha detto Aazim Yashwant, ricercatore di Zimperium. "I domini presi di mira sono popolari piattaforme di social media e questa campagna è stata eccezionalmente efficace nel raccogliere i dati delle sessioni di social media degli utenti di 144 paesi. Questi account possono essere utilizzati come una botnet per scopi diversi: dall'aumento della popolarità di pagine/siti/prodotti alla diffusione di disinformazione o propaganda politica".
L’iPhone SE versione 2020 da 64GB è attualmente disponibile su Amazon in sconto a soli 479,00 euro, non fatevelo scappare!