A Zimperium kiberbiztonsági cég hétfőn jelentette be, hogy egy új androidos trójai programot azonosított, amely eddig összesen 144 országban több mint 10 ezer eszközt fertőzött meg. A Zimperium kutatói által FlyTrap néven hivatkozott trójai március óta terjed, elsősorban a közösséget befolyásoló "social engineering" trükköket alkalmazva a Facebook-fiókok kompromittálásával.

A rosszindulatú program az Android alapú eszközök megfertőzésével ugyanis a közösségimédia-profilokat igyekszik eltéríteni, begyűjtve az áldozatok Facebook-azonosítóját, tartózkodási helyét, email- és IP-címét, valamint a fiókjához kötött sütiket és tokeneket. Ezután hitelesnek látszó üzeneteket küld az áldozatok nevében, tovább terjesztve a preparált jivatkozásokat.

Az úgynevezett "social media hijacking" módszerével aztán harmadik fél által üzemeltetett alkalmazásboltokra irányítja a célpontokat, esetleg a lokációs adatokra épített dezinformációs kampányokat folytathat. A lényeg a "sideloading", vagyis ebben az esetben a nem ellenőrzött forrásból származó alkalmazások telepítése, kikerülve a Google Play ellenőrzéseit.

Ahogy a Zimperium figyelmeztetése is kiemeli, a social engineering egyre hatékonyabb technika a digitálisan összekapcsolt világban. A most felfedezett fenyegetéshez is olyan témákat használnak, amelyek vonzók a felhasználók szemében, például ingyenes Netflix- és Google AdWords-kuponkódokat ígérnek, vagy különféle sport témájú online szavazásokat hirdetnek.

Nem az az ijesztő, amit eddig találtak

A kutatók a FlyTrap fertőzéseket egy vietnami székhelyű csoporthoz kötik, aki szerintük képesek voltak a rosszindulatú kódot akár Google Play felhasználásával is terjeszteni. Ezt időközben magának a Google-nek is jelezték, ahol időközben ellenőrizték és eltávolították az összes érintett alkalmazást, amelyek azonban továbbra is elérhetők néhány nem ellenőrzött alkalmazásáruházban.

A riportból kiderül, hogy a hekkerek egy régóta ismert, de a mai napig igen hatékony technikával telepítik a kártékony kódokat. A alkalmazások ugyanis arra ösztönzi a felhasználókat, hogy adják meg a Facebook-fiókjukhoz tartozó adatokat mondjuk a már említett szavazásokhoz vagy kuponok begyűjtéséhez, ezután pedig egyszerűen elviszik egy olyan oldalra, amelynek értelmében a kuponkód már lejárt.

A JavaScript-befecskendezésnek nevezett módszer révén a szabályos URL-eket megnyitása is a bűnözők által konfigurált nézetben valósulhat meg, a rosszindulatú alkalmazás pedig ezen keresztül gyűjti be a felhasználói információt, amit számtalan dologra használhat. A FlyTrap ebben a tekintetben egy nagy csokor sérülékenység kihasználására alkalmas, és előnyt kovácsol az elérhető metaadatokból vagy a megbízható márkákkal való kapcsolat ügyes hamisításából is.

A ZDNet által idézett biztonsági szakértő szerint az ilyen típusú kártevőkkel kapcsolatban a leginkább aggasztó dolog az általuk generált hálózati hatás, az egyik felhasználóról a másikra való terjedés. Ezen felül, ahogy azt a Zimperium is megállapítja, a trójai gond nélkül továbbfejleszthető olyan irányokba is, hogy a jövőben például banki hitelesítő adatokra vadásszon.