Para peneliti keamanan siber telah menemukan trojan Android baru dan telah menyebar ke lebih dari 10.000 pengguna dan setidaknya ada 144 negara sejak bulan Maret. Berdasarkan laporan dari tim peneliti ancaman seluler zLabs Zimperium, trojan yang dijuluki FlyTrap ini menyebar melalui aplikasi berbahaya yang didistribusikan lewat Google Play Store dan pasar aplikasi pihak ketiga.
Dilansir dari situs web Threat Post, peneliti melacak bahwa malware FlyTrap ini berasal dari Vietnam. Malware FlyTrap merupakan bagian dari keluarga trojan yang menggunakan rekayasa sosial untuk mengambil alih akun Facebook.
Google Play kini menghapus aplikasi berbahaya setelah zLabs memberikan peringatan. Namun, mereka masih didistribusikan di toko aplikasi pihak ketiga yang tidak aman. Berikut ini adalah sembilan aplikasi yang terdapat malware FlyTrap:
- GG Voucher (com.luxcarad.cardid)
- Vote European Football (com.gardenguides.plantingfree)
- GG Coupon Ads (com.free_coupon.gg_free_coupon)
- GG Voucher Ads (com.m_application.app_moi_6)
- GG Voucher (com.free.voucher)
- Chatfuel (com.ynsuper.chatfuel)
- Net Coupon (com.free_coupon.net_coupon)
- Net Coupon (com.movie.net_coupon)
- EURO 2021 Official (com.euro2021)
Malware FlyTrap ini menjebak korbannya menggunakan kode kupon Netflix, kode kupon Google AdWords secara gratis.
“Sama seperti memanipulasi pengguna lainnya, grafik berkualitas tinggi dan tampilan login yang tampak resmi adalah taktik dasar yang digunakan agar pengguna dapat dengan mudah untuk login dan memberikan informasi sensitif. Dalam hal ini, saat pengguna masuk ke akun resmi mereka, FlyTrap Trojan membajak informasi sesi untuk maksud jahat,” kata peneliti zLabs.
Facebook yang telah dibajak dapat digunakan untuk menyebarkan malware dengan menyalahgunakan kredibilitas sosial korban melalu pesan pribadi dengan tautan trojan. Malware FlyTrap ini memiliki kemampuan mencuri ID Facebook pengguna, lokasi, alamat email, alamat IP, cookie hingga token yang terhubung dengan akun Facebook.
FlyTrap menggunakan injeksi JavaScript untuk membajak sesi dengan masuk ke domain asli dan sah. Aplikasi jahat ini membuka domain resmi di dalam WebView, dan kemudian menyuntikkan kode JavaScript berbahaya yang memungkinkan ekstraksi informasi yang ditargetkan.(na)