새로운 안드로이드 악성코드 FlyTrap, 페이스북 계정 수만 개 해킹해

 

 

Beware! New Android Malware Hacks Thousands of Facebook Accounts

 

새로운 안드로이드 트로이목마가 구글 플레이스토어 및 기타 타사 앱 스토어에서 배포된 사기성 앱을 통해 2021년 3월부터 최소 144개국의 만 명이 넘는 사용자의 페이스북 계정을 해킹한 것으로 드러났습니다.

 

이번에 처음 발견된 이 악성코드는 “FlyTrap”이라 명명되었으며 베트남에서 활동하는 악성 공격자가 실행한 세션 하이재킹 캠페인의 일부로 소셜 엔지니어링 트릭을 통해 페이스북 계정을 해킹하는 트로이목마 패밀리와 관련이 있는 것으로 추측됩니다.

 

Zimperium의 악성코드 연구원인 Aazim Yaswant는 사이드로드 애플리케이션이 모바일 엔드포인트 및 사용자 데이터에 끼치는 위험을 강조하며 문제가 되는 애플리케이션 9개가 이후 구글 플레이스토어에서 제거되었지만, 타사 앱스토어에서는 계속 다운로드가 가능했다고 밝혔습니다. 해당 앱 목록은 아래와 같습니다.

 

GG Voucher (com.luxcarad.cardid)

Vote European Football (com.gardenguides.plantingfree)

GG Coupon Ads (com.free_coupon.gg_free_coupon)

GG Voucher Ads (com.m_application.app_moi_6)

GG Voucher (com.free.voucher)

Chatfuel (com.ynsuper.chatfuel)

Net Coupon (com.free_coupon.net_coupon)

Net Coupon (com.movie.net_coupon)

EURO 2021 Official (com.euro2021)

 

악성 앱은 사용자에게 Netflix와 Google Ads 쿠폰 코드를 제공하고 2021년 6월 11일~7월 11일 사이에 개최된 UEFA EURO 2020에서 좋아하는 팀과 선수를 투표할 수 있다고 주장했습니다. 하지만 투표를 하거나 쿠폰 코드, 크레딧을 받기 위해서는 그들의 페이스북 계정으로 로그인 해야한다고 밝혔습니다.

 

 

<이미지 출처 : https://blog.zimperium.com/flytrap-android-malware-compromises-thousands-of-facebook-accounts/>

 

 

사용자가 계정에 로그인 하면, 악성코드는 피해자의 페이스북 ID, 위치, 이메일 주소, IP 주소, 페이스북 계정과 관련된 쿠키 및 토큰을 훔쳐 공격자가 피해자의 지리적 위치를 사용한 허위 정보 캠페인을 진행하거나, 소셜 엔지니어링 기술을 통해 추가 악성코드를 배포하는 등의 공격을 수행 가능합니다.

 

이는 자바스크립트 인젝션을 통해 실행되며, 해당 애플리케이션은 WebView에서 합법적인 URL을 오픈하고 악성 자바스크립트 코드를 주입함으로써 쿠키, 사용자 계정 정보, 위치, IP 주소 등 필요한 정보를 추출해낼 수 있었습니다.

 

 

<이미지 출처 : https://blog.zimperium.com/flytrap-android-malware-compromises-thousands-of-facebook-accounts/>

 

 

추출된 데이터는 C2 서버에서 호스팅되지만, C2 서버에서 보안 취약점이 발견되어 훔친 세션 쿠키가 포함된 데이터베이스 전체가 인터넷에서 누구나 접근 가능한 상태로 노출되어 있어 피해자들을 더 큰 위험에 빠트릴 수 있었습니다.

 

현재 이스트시큐리티 알약M에서는 해당 안드로이드 악성코드 샘플을 'Trojan.Android.Agent'로 탐지 중입니다.  

 

 

 

 

출처:

https://thehackernews.com/2021/08/beware-new-android-malware-hacks.html

https://blog.zimperium.com/flytrap-android-malware-compromises-thousands-of-facebook-accounts/