Troyano de Android puede robar credenciales de usuarios de Facebook

Se ha descubierto un nuevo troyano basado en Android que puede secuestrar las cuentas de Facebook de los usuarios al robar las cookies de sesión. Según los investigadores, las campañas de malware emplean tácticas sencillas de ingeniería social. Los investigadores de Zimperium detectaron un nuevo troyano llamado FlyTrap, utilizado para extraer credenciales de inicio de […]

Se ha descubierto un nuevo troyano basado en Android que puede secuestrar las cuentas de Facebook de los usuarios al robar las cookies de sesión. Según los investigadores, las campañas de malware emplean tácticas sencillas de ingeniería social.

Los investigadores de Zimperium detectaron un nuevo troyano llamado FlyTrap, utilizado para extraer credenciales de inicio de sesión de Facebook.

Distribuida en 140 países desde marzo, la campaña FlyTrap implica aprovechar aplicaciones maliciosas para propagar el malware a través de Google Play y otras tiendas de Android de terceros.

Los expertos sospechan que más de 10.000 usuarios de Android pueden haber sido víctimas de esta campaña de ataque que utiliza diversas ofertas como carnada.

Los ciberdelincuentes utilizaban señuelos como códigos de cupones gratuitos para servicios populares como Google AdWords o Netflix.
En algunos casos, también se utilizó votar por el equipo de fútbol popular, el jugador o mantenerse actualizado con la competencia de la UEFA Euro 2020 para atraer a las víctimas.

El usuario interesado debe iniciar sesión en la aplicación maliciosa con sus credenciales de Facebook para reclamar la recompensa. Ahí está la trampa.

Estas aplicaciones maliciosas utilizan un servicio legítimo de inicio de sesión único (SSO) de Facebook, el cual impide capturar las credenciales de los usuarios. Para superar esto, el troyano utiliza la inyección de JavaScript para recopilar información confidencial.

Toda la información recopilada finalmente se carga en el servidor C2 de FlyTrap. Además, se descubrió que este servidor tiene múltiples agujeros de seguridad, lo que podría resultar en nuevas filtraciones de cookies de sesión de Facebook robadas del servidor.

Incluso sin utilizar ninguna técnica nueva, FlyTrap secuestró una gran cantidad de cuentas de Facebook. Estas credenciales de cuenta robadas podrían usarse en otras acciones maliciosas. Además, la campaña aún está activa y, con algunas modificaciones, puede convertirse en una amenaza más grave para los usuarios de teléfonos inteligentes.