Nuevo malware FlyTrap para Android: qué es y cómo evitarlo

Los virus y el malware no son nada nuevo para Android. Si bien Google ha hecho todo lo posible para crear un sistema seguro para proteger tu dispositivo y la información confidencial, de vez en cuando un virus malicioso logra colarse.

El malware ha sido una amenaza constante para cualquier infraestructura. No pasa un solo día sin escuchar que en algún lugar alguien fue afectado por malware. ¿Dónde crees que ingresa este malware a tus dispositivos? Los usuarios de Android son propensos a cargar una aplicación de fuentes desconocidas cuando no están disponibles en Play Store. Esto obliga al usuario a renunciar a permisos de seguridad específicos para instalar la aplicación maliciosa.

Los investigadores han descubierto un troyano de Android, llamado FlyTrap, que ha comprometido más de 10.000 dispositivos en 144 países. Utiliza una variedad de métodos para propagarse, a través del secuestro de redes sociales, tiendas de aplicaciones de terceros y aplicaciones de carga lateral. El malware todavía está activo y es una amenaza para quienes no lo saben.

En este post te contamos en qué consiste el malware FlyTrap, cómo funciona, cómo detectarlo y cómo evitar ser infectados.

¿Qué es el malware FlyTrap?

El malware FlyTrap secuestra las cuentas de Facebook de un usuario. La información recopilada del dispositivo Android de la víctima incluye su ID de Facebook, ubicación, dirección de correo electrónico, dirección IP y las cookies y tokens asociados con la cuenta de Facebook.

Estas sesiones de Facebook secuestradas se utilizan para propagar el malware mediante el envío de mensajes personales con enlaces a los contactos de la víctima. El troyano también utiliza los detalles de geolocalización de la víctima en campañas de propaganda y desinformación para difundirse a un público más amplio.

Este tipo de técnicas de ingeniería social son algunos de los métodos clave que los ciberdelincuentes utilizan para difundir malware.

El troyano se encuentra en las profundidades de las aplicaciones de Android disfrazadas de legítimas. El truco aquí es que todas estas aplicaciones están meticulosamente diseñadas para dar visualmente la impresión de que la aplicación maliciosa es, de hecho, genuina.

Google ya ha eliminado aplicaciones con FlyTrap escondido debajo de la superficie luego de la divulgación de Zimperium. Sin embargo, es un poco inquietante que tales aplicaciones hayan logrado superar la revisión de aplicaciones de Google y Google Play Protect, la herramienta de seguridad incorporada de la compañía para Android.

¿Cómo funciona?

La especialidad del grupo de amenazas es utilizar la ingeniería social como códigos de cupón gratuitos para Netflix, códigos de cupón de Google AdWords y el intercambio de encuestas en línea donde los usuarios votan por cosas como sus equipos de fútbol o jugadores favoritos para enmascarar aplicaciones maliciosas. Estos cupones falsos y altamente gráficos tientan a los usuarios a iniciar sesión en su cuenta de Facebook.

Cuando los usuarios caen en este truco, los atacantes pueden acceder a la cuenta de usuario de la víctima, la dirección de correo electrónico, la dirección IP, la ubicación y las cookies o tokens asociados con esa cuenta.

Una vez que el atacante obtiene el control de la cuenta de Facebook de la víctima, opera como un usuario legítimo. Continúa difundiendo esta campaña maliciosa enviando más enlaces de phishing a los amigos del usuario a través de Facebook Messenger o publicaciones. Estas cuentas comprometidas pueden usarse como una botnet con el propósito malicioso de aumentar la popularidad de las páginas / sitios / productos utilizados para difundir información errónea.

El troyano funciona inyectando JavaScript en dominios legítimos y secuestrando las sesiones del usuario. El código JavaScript insertado maliciosamente permite la extracción de la información de la víctima, como los detalles de la cuenta, la ubicación y la dirección IP al abrir sitios web genuinos utilizando WebView de Android. Luego reenvía la información robada al servidor FlyTrap C2 que almacena las credenciales de inicio de sesión. El servidor C2 tiene una configuración incorrecta que podría exponer la base de datos de cookies robadas a otros actores maliciosos que quieran probarlas.

La diferencia clave entre otros ataques de ingeniería social y las aplicaciones FlyTrap es que los desarrolladores de estas aplicaciones se aseguran de que tengan elementos de diseño de alta calidad a la par con las empresas que intentan imitar.

El servidor de comando y control (C&C) tiene algunas vulnerabilidades de seguridad que pueden exponer toda la base de datos de almacenamiento de los datos robados. En esencia, los operadores de FlyTrap no solo se están infiltrando en dispositivos móviles eludiendo la seguridad de Google y luego robando datos, sino que también los exponen para que el mundo juegue con ellos.

Las preocupaciones de seguridad no se limitan a los usuarios de Android

Este tipo de troyano puede propagarse rápidamente de un usuario de Facebook a otro. También preocupa a los investigadores que los atacantes puedan filtrar información más crítica, como credenciales bancarias, al obtener acceso. Este ataque es un ejemplo de que incluso cuando no hay amenazas de seguridad específicas o vulnerabilidades en la red o el sistema, un simple ataque de secuestro de intermediario puede convertir fácilmente a cualquiera en una víctima.

Es preocupante que este troyano pueda ofrecerse como un servicio para ganar dinero o que, eventualmente, también pueda funcionar como ransomware.

Estos anuncios no solo lo llevan a una página de inicio de sesión falsa utilizada para el phishing, sino que son tan avanzados que también funcionan en una página de inicio de sesión de Facebook real. Es posible con el uso de la inyección de JavaScript extraer la información de la cuenta del usuario.

El punto de preocupación es que no es solo la página de inicio de sesión de Facebook lo que los actores de amenazas pueden usar para estos ataques, sino también la página de inicio de sesión de cualquier sitio web de redes sociales. Surge la pregunta: ¿Podrían los adversarios usar pronto esta campaña para robar credenciales de inicio de sesión corporativas al apuntar a las víctimas que usan su dispositivo Android para conectarse a plataformas de colaboración corporativa como Google Workspace o Microsoft 365?

En la mayoría de los casos, una víctima y su dispositivo Android serán vulnerables, pero solo a nivel individual. Sin embargo, cuando la persona usa su dispositivo Android personal en su función de empleado y se ve afectado, podría provocar una pérdida masiva de los datos confidenciales y esenciales de la empresa.

También podría ser complicado cuando el Android infestado de malware de un usuario llega a los puntos de acceso inalámbrico de la organización cuando se registra en un programa BYOD. El atacante puede aprovechar esto convirtiéndolo en un punto de entrada a las organizaciones y evolucionando hacia un ataque más poderoso.

Impacto de las aplicaciones FlyTrap

Según los datos de geolocalización recopilados, se estima que 10,000 usuarios han sido víctimas de las aplicaciones FlyTrap. Las víctimas provienen de 144 países diferentes, incluidos los Estados Unidos, así como Vietnam, el país de origen de los actores de amenazas detrás de esta campaña.

Los actores de amenazas maliciosas están aprovechando las ideas erróneas de los usuarios de que iniciar sesión en el dominio correcto siempre es seguro, independientemente de la aplicación utilizada para iniciar sesión. Los dominios objetivo son plataformas de redes sociales populares y esta campaña ha sido excepcionalmente eficaz en la recolección de sesiones de redes sociales datos de usuarios de 144 países. Estas cuentas se pueden utilizar como una botnet para diferentes propósitos: desde aumentar la popularidad de páginas / sitios / productos hasta difundir información errónea o propaganda política.

Aplicaciones con el troyano FlyTrap

Zimperium enumeró las siguientes nueve aplicaciones con el troyano FlyTrap:

  • com.luxcarad.cardid – Cupón GG
  • com.gardenguides.plantingfree – Vota fútbol europeo
  • com.free_coupon.gg_free_coupon – Anuncios de cupones de GG
  • com.m_application.app_moi_6 Anuncios de cupones de GG
  • vale.com.gratis – Cupón GG
  • com.ynsuper.chatfuel – Chatfuel
  • Com.free_coupon.net_coupon – Cupón neto
  • com.movie.net_coupon – Cupón neto
  • com.euro2021 – Oficial de la EURO 2021

Entonces, si encuentras el paquete de instalación para cualquiera de estos de fuentes confiables, elimínalos lo antes posible. Teniendo en cuenta que Google inicialmente se perdió en la captura de aplicaciones FlyTrap, no se debe descartar la posibilidad de que las aplicaciones FlyTrap circulen en Play Store. Como tal, es recomendable verificar la autenticidad del proveedor de la aplicación antes de descargar cualquier aplicación, y mucho menos introducir datos personales como credenciales o información financiera.

¿Cómo Protegerse Del Malware FlyTrap?

Google ya ha eliminado los anuncios maliciosos dentro de Play Store, sin embargo, todavía se pueden encontrar a través de anuncios en varios sitios web y aplicaciones. Se publicaron algunos consejos para que puedas protegerte del daño causado por el virus. Si sigues los consejos correctamente, podrás navegar por tus aplicaciones de forma más segura.

Utiliza aplicaciones antivirus y antimalware antes de instalar una nueva aplicación

En este caso, un buen antivirus marca la diferencia para la protección de tu dispositivo. Hay varios muy buenos disponibles en Play Store, y para nombrar uno, te sugiero que pruebes el «Malwarebytes Antivirus & Anti-Malware Security».

  • Detecta ransomware y malware antes de que infecten Android.
  • Escanea aplicaciones en busca de códigos maliciosos, programas potencialmente no deseados (PPI) o adware para que Android funcione sin problemas.
  • Detecta automáticamente enlaces maliciosos en mensajes de texto entrantes.
  • Detecta enlaces maliciosos en cualquier texto, incluidos correos electrónicos, servicios de mensajería como Facebook o Whatsapp, o sitios web, con análisis bajo demanda.
  • Identifica aplicaciones que rastrean la ubicación, monitorizan llamadas o cuestan dinero extra en tarifas ocultas.

Malwarebytes para Android protege automáticamente tu dispositivo más utilizado de una lista creciente de amenazas cibernéticas avanzadas, que incluyen malware, ransomware y vigilancia no autorizada. De esta manera, tu Android estará seguro cuando y donde sea.

¿Es segura la aplicación que descargaste? Con Malwarebytes para Android , nunca tendrás que preocuparte por ningún código malicioso o programas potencialmente no deseados asociados con la aplicación. Las tecnologías anti-malware, anti-ransomware y anti-adware detectan programas maliciosos o innecesarios antes de robar identidad, interceptar comunicaciones o degradar la experiencia móvil. La detección agresiva de aplicaciones publicitarias y basura mantiene Android funcionando sin problemas.

No des permisos innecesarios durante la instalación

Cuando vas a instalar una aplicación desde Google Play Store es normal y se recomienda que aceptes los permisos de uso para tener una mejor experiencia con la aplicación. Sin embargo, en algunas situaciones, algunos de los permisos no tienen ningún sentido para la aplicación durante la instalación, especialmente si es una aplicación externa. En esta parte, ¡ten mucho cuidado!

No descargues aplicaciones desconocidas, ni siquiera de Play Store

¿Encontraste una aplicación sospechosa? ¡No descargar! Aunque Google Play Store es un servicio de gran confianza, debes tener cuidado con algunas aplicaciones que pueden haber pasado por la seguridad de Google. Es posible que algunos no se hayan analizado correctamente, por lo que es mejor evitarlas.

Nunca reveles la información de tu cuenta de Facebook

Otro punto importante es que nunca, bajo ninguna circunstancia, facilites la información de tu cuenta de Facebook a otras personas. Puede parecer un cliché, pero todavía ocurre mucho, razón por la cual el malware como FlyTrap está muy extendido en el mundo de Internet.

Simplemente inicia sesión en Facebook y otras redes sociales a través de la aplicación o el sitio web oficial

Otro consejo de suma importancia: No inicies sesión en aplicaciones y sitios web que no sean redes sociales oficiales. Muchas personas usan aplicaciones paralelas para ver quiénes son sus mejores amigos, a quién le gustan más sus fotos, quién visita su perfil en la red y entre otras aplicaciones peligrosas. Conserva los datos de tus redes sociales y mantenlos seguros.

Revisa la 2FA basada en SMS de todas las cuentas

Puedes utilizar varios otros métodos como segundo «factor» que está más protegido que la verificación basada en mensajes de texto. Como se mencionó, proporcionar tu número de teléfono a un tercero presenta el riesgo de fuga de datos y secuestrar aún más otras cuentas. Con una pequeña inversión, puedes desacoplar tu número de teléfono como segundo factor.

Llaves de seguridad

Usar un token físico (o clave de seguridad) solo para este propósito podría ayudar. La mayoría de los proveedores de claves de seguridad ofrecen diferentes factores de forma como USB-A, USB-C, Lightning o Bluetooth. No importa cuál elijas, probablemente sea un accesorio físico con forma de memoria USB que puede caber en tu llavero.

Cuando se requiere autenticación, debes conectar la clave en un puerto USB de tu dispositivo o, si tiene un chip inalámbrico NFC, mantén la clave en tu teléfono habilitado para NFC. Puedes utilizar las teclas de seguridad como acceso seguro en plataformas como Google, Facebook, Dropbox, Microsoft, y otros sitios que ayuda FIDO o Y2F protocolo.

El principal problema con las claves es la compatibilidad del servicio. Otro problema sería perder o extraviar una llave de seguridad. Por ejemplo, si las personas que las pusieron en sus llaves se pierden o se las roban, es probable que se bloqueen las cuentas. Por lo tanto, cuando configures tu clave, debes configurar una segunda clave de respaldo si algo malo le sucede a la primera.

No puedes proteger lo que no puedes ver

También podemos aumentar nuestra visibilidad sobre la actividad de los dispositivos móviles y los procesos en segundo plano con algunas herramientas útiles.

  • Privacidad de bloqueo: solo para iOS .
  • Glasswire: el más fácil que probé es Glasswire, que es compatible con Android y Windows.

Estas herramientas son excelentes para mejorar la visibilidad y verificar si hay algún nuevo acceso a Internet desde una aplicación o proceso en segundo plano. También puede verificar rápidamente si hay una aplicación que consume datos que están fuera de escala.

Otra área que vale la pena revisar es el DNS. Puedes usar esta herramienta para verificar si hay alguna solicitud de DNS en un formato aleatorio, un nombre de dominio aleatorio al que está accediendo tu dispositivo. Esto podría ser un indicador de que la aplicación está comprometida e intenta enviar información. Una vez que averigües cuál está contribuyendo a los intentos de conexión, elimina la aplicación inmediatamente.

Conclusión

Los actores de amenazas aprovechan los malentendidos comunes de los usuarios de que iniciar sesión en el dominio real es siempre seguro. Los dominios objetivo son plataformas de redes sociales populares como Facebook y Google que las personas utilizan para registrarse en sitios web.

Esta campaña de malware ha sido particularmente poderosa en la recolección de perfiles de usuarios de redes sociales de más de 140 países. Estas cuentas robadas se pueden utilizar como botnet (o zombis) para varios propósitos: desde expandir la popularidad de páginas / sitios / productos hasta difundir información errónea o propaganda política.

De manera similar a cualquier manipulación por parte del usuario, las pantallas de inicio de sesión de apariencia legítima y los gráficos de alta calidad son tácticas típicas para que los usuarios entreguen información confidencial. En este caso, mientras el usuario inicia sesión en su cuenta oficial de Facebook, el troyano FlyTrap está secuestrando la información sobre la marcha con malas intenciones.

FlyTrap es simplemente un ejemplo de las continuas amenazas actuales contra los dispositivos móviles destinados a robar las credenciales de las redes sociales. Los dispositivos móviles a menudo son tesoros de nombres de usuario / contraseñas indefensos para cuentas de redes sociales, aplicaciones bancarias y más.

Más importante aún, las herramientas y técnicas utilizadas por FlyTrap no son nuevas, pero son lo suficientemente efectivas porque no existe una seguridad avanzada de terminales móviles en estos dispositivos o en la mayoría de los dispositivos. No se necesitaría mucho para que una parte malintencionada tomara FlyTrap o cualquier otro troyano y lo modificara para apuntar a información aún más crítica.