FlyTrap: Neuer Android-Trojaner findet Opfer in mehr als 140 Ländern

Der Sicherheitsanbieter Zimperium hat einen neuen Trojaner für Googles Mobilbetriebssystem Android entdeckt. Bisher soll die als FlyTrap bezeichnete Malware mehr als 10.000 Opfer in 144 Ländern gefunden haben. Seit Marz verbreitet sie sich über Social Media Hijacking, App Stores von Drittanbietern und das Sideloading von Apps.

Anfänglich gelangte der Trojaner über Social Engineering auf Android-Geräte. Er übernimmt die Kontrolle über ein Smartphone oder Tablet, was es den Angreifern erlaubt, Daten wie Facebook-ID, Standort, E-Mail-Adresse, IP-Adresse sowie zum Facebook-Konto gehörende Cookies und Tokens auszuspähen, um Facebook-Sitzungen zu übernehmen.

An Facebook-Anmeldedaten gelangt FlyTrap, indem Nutzer aufgefordert werden, ihre Kontodaten einzugeben, um an einer Abstimmung teilzunehmen oder einen Gutschein-Code zu erhalten. Wurde die Daten erfolgreich abgegriffen, wird das Opfer mit der Meldung vertröstet, die Aktion sei bereits abgelaufen.

“Die gekaperten Facebook-Sitzungen können zur Verbreitung der Malware genutzt werden, indem die soziale Glaubwürdigkeit des Opfers durch persönliche Nachrichten mit Links zum Trojaner missbraucht wird und Propaganda- oder Desinformationskampagnen unter Verwendung der Geolokalisierungsdaten des Opfers verbreitet werden”, fanden die Forscher heraus.

“Diese Social-Engineering-Techniken sind in der digital vernetzten Welt sehr effektiv und werden häufig von Cyberkriminellen eingesetzt, um Malware von einem Opfer zum anderen zu verbreiten. Die Bedrohungsakteure nutzten verschiedene Themen, die für Nutzer attraktiv sind, wie beispielsweise kostenlose Netflix-Gutscheincodes, Google AdWords-Gutscheincodes und Abstimmungen über die beste Fußballmannschaft oder den besten Fußballspieler.”

Zimperium vermutet, dass hinter FlyTrap in Vietnam ansässige Hackergruppen stecken. Sie seien grundsätzlich dazu in der Lage, schädliche Apps auch über den Google Play Store zu verbreiten. Deswegen stellte Zimperium seinen Forschungsbericht auch Google zur Verfügung, das daraufhin eine nicht näher genannte Zahl von Apps aus seinem Marktplatz entfernte. Derzeit sollen mit dem Trojaner verseuchte Apps nur noch in “ungesicherten” App-Repositories erhältlich sein.

“FlyTrap ist nur ein Beispiel für die anhaltenden, aktiven Bedrohungen gegen mobile Geräte, die darauf abzielen, Anmeldedaten zu stehlen. Mobile Endgeräte sind oft eine Fundgrube für ungeschützte Anmeldeinformationen für Social-Media-Konten, Bankanwendungen, Unternehmenstools und mehr”, so die Forscher von Zimperium. “Die von FlyTrap verwendeten Tools und Techniken sind nicht neu, aber aufgrund des Mangels an fortschrittlicher mobiler Endpoint Security auf diesen Geräten sehr effektiv. Es wäre nicht schwer, FlyTrap oder einen anderen Trojaner so zu modifizieren, dass er auf noch mehr kritische Informationen abzielt.”