Araştırmacıların FlyTrap olarak adlandırdığı ve Android işletim sistemini hedef alan yeni bir saldırı, oturum çerezlerini çalarak 140’tan fazla ülkedeki kullanıcıların Facebook hesaplarını ele geçiriyor.
FlyTrap saldırısı, kurbanları sosyal medya oturumuyla ilişkili verileri toplayan kötü amaçlı uygulamalara giriş yapmak için Facebook kimlik bilgilerini kullanmaları için kandırmaya yönelik basit sosyal mühendislik taktiklerini kullanıyor.
Yüksek kaliteli uygulamalarla kullanıcıları cezbediyor
FlyTrap saldırıları en az Mart ayından bu yana devam ediyor. Siber saldırganlar, Google Play ve üçüncü taraf Android mağazaları aracılığıyla dağıtılan yüksek kaliteli tasarıma sahip kötü amaçlı uygulamalar kullanıyor. Saldırganlar, iptal edilen UEFA Euro 2020 turnuvasına dair futbolcu ve futbol takımı oylamaları ve Netflix vb. servislerin abonelikleri için ücretsiz kupon kodu dağıtma vaadiyle kurbanlarına yöneliyor.
Kullanıcılardan, kendilerine verileceği söylenen ödülü almak için gerçek uygulama üzerinden kimlik doğrulama yaparak kullanıcı girişi yapmaları isteniyor. Kötü amaçlı uygulama, gerçek Facebook “Tek Oturum Açma” (SSO) hizmetini kullandığından, kullanıcıların kimlik bilgilerini toplayamıyorlar. FlyTrap bunun yerine, diğer hassas verileri toplamak için JavaScript enjeksiyonu kullanıyor.
“Uygulama, bu tekniği kullanarak, JavaScript kodunu enjekte etme yeteneği ile yapılandırılmış bir Web Görünümü içinde yasal URL’yi açar ve kötü amaçlı JS kodunu enjekte ederek çerezler, kullanıcı hesabı ayrıntıları, konum ve IP adresi gibi tüm gerekli bilgileri çıkarır”
Bu şekilde toplanan tüm bilgiler FlyTrap’in C2 sunucusuna gidiyor. 144 ülkede 10.000’den fazla Android kullanıcısı bu sosyal mühendisliğin kurbanı oldu. Ortaya çıkan haritaya göre Türkiye’den de etkilenen kullanıcılar bulunmakta.
Bilgiler internette herkese açık durumda
Rakamlar doğrudan araştırmacıların erişebildiği komuta ve kontrol sunucusundan geliyor, çünkü çalınan Facebook oturum çerezlerini içeren veritabanı internette herkese açık durumdaydı.
Zimperium’dan Aazim Yaswant bugün bir blog yazısında FlyTrap’in C2 sunucusunun depolanan bilgilere erişimi kolaylaştıran birden fazla güvenlik açığına sahip olduğunu söylüyor.
Araştırmacı, sosyal medya platformlarındaki hesapların, sayfaların, sitelerin, ürünlerin, yanlış bilgilerin veya siyasi bir mesajın popülerliğini yapay olarak artırmak gibi sahte amaçlarla kullanabilecek tehdit aktörleri için ortak bir hedef olduğunu belirtiyor.
“Herhangi bir kullanıcı manipülasyonu gibi, yüksek kaliteli grafikler ve resmi görünümlü giriş ekranları, kullanıcıların hassas bilgileri açığa çıkarabilecek eylemlerde bulunmasını sağlamak için kullanılan yaygın taktiklerdir. Bu durumda, kullanıcı resmi hesabına giriş yaparken FlyTrap Truva Atı oturum bilgilerini kötü niyetli amaçlarla ele geçiriyor” – Aazim Yaswant
FlyTrap yeni bir teknik kullanmamasına rağmen önemli sayıda Facebook hesabını ele geçirmeyi başardı. Araştırmacılar, bu saldırının birkaç değişiklikle mobil cihazlar için daha tehlikeli bir tehdide dönüşebileceğini söylüyor.
Kaynak: bleepingcomputer.com
Diğer Haberler
Have I Been Pwned’dan Türkiye Açıklaması
Synology, NAS Cihazlarını Hedef Alan Fidye Yazılım Saldırısına Karşı Uyarıda Bulundu
Valve, Steam Deck’i Windows 11’e Hazır Hale Getirmek İçin AMD İle Çalışıyor