FlyTrap, el falso cupón de Netflix que roba cuentas Android de Facebook
El troyano Android está presente en 140 países y ha logrado robar cuentas de más de 10.00 usuarios por todo el mundo.
Cuidado si usas Facebook y además tienes Android -y también con los cupones de Netflix: Según la compañía experta en ciberseguridad Zimperium, un nuevo troyano para Android con nombre en clave FlyTrap ha llegado a al menos 140 países desde marzo de 2021 y se ha extendido a más de 10.000 víctimas a través del secuestro de redes sociales, tiendas de aplicaciones de terceros y aplicaciones cargadas lateralmente.
FlyTrap
Los equipos de investigación de amenazas móviles de zLabs de Zimperium encontraron recientemente varias aplicaciones no detectadas anteriormente utilizando el motor de malware z9 de Zimperium y la detección en el dispositivo. Tras su investigación forense, el equipo de zLabs determinó que este malware previamente no detectado “forma parte de una familia de troyanos que emplean trucos de ingeniería social para comprometer las cuentas de Facebook”.
Sí: Te roban la cuenta de Facebook. De acuerdo a las pruebas forenses de este malware troyano para Android -bautizado como FlyTrap por Zimperium- estas apuntan a que su origen viene de varios “grupos maliciosos de Vietnam que ejecutan esta campaña de secuestro de sesiones desde marzo de 2021”.
Estas aplicaciones maliciosas se distribuyeron "inicialmente tanto a través de Google Play como de tiendas de aplicaciones de terceros". Zimperium zLabs informó de los hallazgos a Google, que verificó la investigación proporcionada y eliminó las aplicaciones maliciosas de la tienda Google Play. Sin embargo, estas apps contaminadas “siguen estando disponibles en tiendas digitales de terceros”.
El Falso cupón de Netflix
La aplicación móvil supone una amenaza para la identidad social de la víctima al secuestrar sus cuentas de Facebook a través de un troyano que infecta su dispositivo Android. La información recopilada del dispositivo Android de la víctima incluye:
- ID de Facebook
- Ubicación
- Dirección de correo electrónico
- Dirección IP
- Cookie y tokens asociados a la cuenta de Facebook
Estas sesiones de Facebook secuestradas pueden utilizarse para propagar el malware abusando de la credibilidad social de la víctima a través de mensajes personales con enlaces al troyano, así como lanzando propaganda o campañas de desinformación utilizando los datos de geolocalización de la víctima.
¿Cómo funciona el troyano FlyTrap? Los autores del malware utilizaron varios temas que los usuarios encontrarían atractivos y muy de ingeniería social, como:
- Códigos de cupones gratuitos de Netflix
- Códigos de cupones de Google AdWords
- La votación del mejor equipo o jugador de fútbol
Inicialmente disponible en Google Play y en tiendas de terceros, la aplicación engañaba a los usuarios para que la descargaran y confiaran en ella con diseños de alta calidad e ingeniería social. Tras la instalación, la aplicación maliciosa muestra páginas que atraen al usuario y le piden una respuesta, como las que se muestran a continuación.
10 víctimas en 144 países
El engaño continúa hasta que al usuario se le muestra la página de inicio de sesión de Facebook y se le pide que inicie sesión en su cuenta para emitir su voto o recoger el código del cupón o los créditos. Todo esto no es más que otro truco para engañar al usuario, ya que no se genera ningún código de voto o cupón real. En su lugar, la pantalla final trata de justificar el falso código del cupón mostrando un mensaje que dice que "El cupón ha caducado después del canjeo y antes del gasto".
La base de datos expuesta contiene la información de geolocalización de varios miles de víctimas, a partir de la cual se generó el mapa victimológico que se muestra a continuación. El equipo de Zimperium zLabs encontró más de 10.000 víctimas en 144 países hasta la fecha, lo que ilustra el impacto de la campaña de ingeniería social.