Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.
Un’altra settimana, un altro malware che circola su Android: il laboratorio di ricerca Zimperium ha infatti individuato all’interno sia del Play Store che di altri market di applicazioni di terze parti un nuovo malware Trojan, ribattezzato FlyTrap, capace di derubare le sue vittime delle credenziali di accesso a Facebook.
La tecnica utilizzata dal malware, benché non particolarmente raffinata, si è rivelata estremamente letale avendo già colpito oltre 10.000 account di utenti di 177 Paesi nel mondo, Italia compresa. Siete pronti per scoprire come e perché FlyTrap è in grado di derubarvi del vostro account Facebook?
Che cos'è FlyTrap
FlyTrap è un malware trojan: la sua caratteristica è di riuscire a infiltrarsi negli smartphone delle vittime senza che queste si accorgano della sua natura maligna. Come succede spesso per questo genere di virus, FlyTrap è stato individuato non solo all’interno di store di terze parti di applicazioni, ma anche nel Play Store. Perché fare questa distinzione?
Per due motivi: innanzitutto per via del fatto che gli app store di terze parti su Android non dispongono delle stesse tecnologie antivirus in possesso di Google. Ciò significa che inevitabilmente un market come APKPure, che pure ha avuto i suoi problemi di sicurezza in passato, sarà inevitabilmente meno sicuro del Play Store. Secondariamente, proprio per via di questo motivo ci si aspetterebbe da Google Play un grado di sicurezza più avanzato, e dunque meno soggetto agli attacchi dei virus Android.
Cosa che però non succede. Benché Google Play Protect, la suite antivirus di Google applicata al Play Store, protegga gli utenti Android dai virus più nocivi, accade comunque che alcuni malware particolarmente abili riescano a passare sottotraccia, servendosi di server Comando&Controllo remoti dai quali scaricano, una volta installati sul dispositivo della vittima, i moduli infetti che usano per depredarla di dati e informazioni sensibili. In questo modo l’app che viene caricata sul Play Store è “pulita”, e nominalmente non viene segnalata dai software di scansione.
Come FlyTrap attacca gli smartphone degli utenti
FlyTrap significa letteralmente “trappola per mosche” – come la carta moschicida, o una lanterna elettronica. Questi dispositivi attirano gli insetti tramite un’esca particolarmente invitante, che funge al contempo anche da trappola mortale. Il nome, attribuito al malware dai ricercatori del laboratorio Zimperium, non è casuale: FlyTrap attira infatti le sfortunate vittime nella propria rete attirandole con la promessa di coupon e codici sconto, che ovviamente non vengono forniti ma che comunque rappresentano una promessa di guadagno sufficientemente valida da consentire al meccanismo di scattare.
FlyTrap è stato infatti individuato all’interno di numerose app sul Play Store, la maggior parte delle quali fornite di design accattivante e attuale, lontano dall’aspetto trasandato e povero che solitamente questi malware possiedono. In realtà, guardando con attenzione ai testi di queste app, ci si accorge subito della loro sciatteria – tuttavia per gli utenti di queste app, il design importa poco se l’app fornisce quello che promette. Generalmente sono buoni Netflix e per Google Adword, ma è capitato anche che si trattassero di semplici sondaggi sul miglior giocatore degli europei; pare infatti che gli hacker autori di FlyTrap abbiano cercato di intercettare l’interesse intorno al torneo di calcio sviluppando app a tema – una di queste si chiamava addirittura “EURO 2021 Official“.
Il meccanismo per la riscossione di questi fantomatici coupon, ovviamente non-esistenti, è lo stesso: una volta scaricata, l’applicazione cerca di generare engagement con l’utente facendolo interagire con varie schermate. Quest’atteggiamento è molto furbo, quasi intelligente: l’app cerca di guadagnarsi la fiducia dell’utente, intrattenendolo, fino a che non gli viene richiesto di accedere al proprio account Facebook per ritirare il coupon che gli spetta. L’utente, una volta che ha effettuato il login, non riesce però a riscattare il buono regalo in quanto una volta che il codice viene copiato viene mostrata una scritta che indica che il buono è in realtà “scaduto”.
Nel frattempo l’app aveva però rubato le credenziali Facebook dell’utente – metodo che virtualmente si sarebbe potuto applicare a ogni social network. Contrariamente a quanto si pensa, non sempre è necessario utilizzare una schermata di phishing (ossia, una schermata falsa d’accesso) per rubare la password a una piattaforma; in questo caso, FlyTrap utilizza un attacco Javascript, noto come “iniezione Javascript”. Sostanzialmente, il malware inserisce linee di codice personalizzate all’interno della schermata WebView che mostra la pagina (ufficiale e legittima) d’accesso a Facebook; tramite questo codice, vengono sottratte informazioni importanti come cookie, dettagli sul profilo d’accesso, indirizzo IP e tanto altro.
L’attacco viene effettuato tramite un server di Comando&Controllo, tramite il quale gli hacker gestiscono l’attacco. Ironicamente, il server stesso è poco protetto, di conseguenza chiunque potrebbe ottenere quei dati, se lo volesse.
Come difendersi da FlyTrap
L’attacco ha colpito più di 10.000 account Facebook, che sono stati con successo penetrati dagli hacker, in oltre 144 Paesi nel mondo – Italia compresa. Questo dà l’idea della portata di questo malware, il quale nonostante prenda di mira gli account Facebook – oggi prevalentemente meno usati che in passato, specie da parte di quell’utenza che può essere interessata a buoni Netflix.
La sua pericolosità non è dunque da sottovalutare. Se volete evitare di caderne vittima, attenetevi a un semplice concetto – ossia, nessuno vi regala nulla. App che promettono di svolgere funzioni tanto basilari come l’erogazione di buoni non sono attendibili, e cercheranno sicuramente di privarvi di qualcosa – in questo caso, dei vostri dati personali. Gli account Facebook sono merce preziosa non solo per i dati che custodiscono, ma anche per il loro valore nell’algoritmo del social network – è stato verificato che spesso gli account rubati diventano strumenti nelle campagne di disinformazione, essendo più difficile per Facebook sospendere un account che ha una buona reputazione. Controllate quindi la vostra bacheca, ogni tanto – potreste trovarci un post complottista senza che nemmeno ve ne accorgiate.
Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!
