注意！新型Android恶意软件入侵了数千个Facebook帐户

自 2021 年 3 月以来，一种新的 Android 木马被发现通过通过 Google Play 商店和其他第三方应用程序市场分发的欺诈性应用程序危害至少 144 个国家/地区的 10,000 多名用户的 Facebook 帐户。

被称为“捕蝇器”的以前没有记录的恶意软件被认为是一个木马家族雇用的社会工程手段违反Facebook的账户，通过越南的经营出恶意行为者精心策划了会话劫持活动的一部分的一部分，根据报告发表Zimperium 的 zLabs 今天与黑客新闻分享。

Zimperium 恶意软件研究员 Aazim Yaswant 表示，尽管这九个违规应用程序已从 Google Play 下架，但它们仍可在第三方应用程序商店中使用，“突出了将应用程序侧载到移动端点和用户数据的风险”。应用程序列表如下 –

• GG 代金券 (com.luxcarad.cardid)
• 投票欧洲足球 (com.gardenguides.plantingfree)
• GG 优惠券广告 (com.free_coupon.gg_free_coupon)
• GG 优惠券广告 (com.m_application.app_moi_6)
• GG 代金券 (com.free.voucher)
• Chatfuel (com.ynsuper.chatfuel)
• 净优惠券 (com.free_coupon.net_coupon)
• 网络优惠券（com.movi​​e.net_coupon）
• 2021 年欧洲杯官方 (com.euro2021)

这些恶意应用程序声称提供 Netflix 和 Google AdWords 优惠券代码，并让用户在 2021 年 6 月 11 日至 7 月 11 日举行的 2020 年欧洲足球锦标赛上为自己喜欢的球队和球员投票，前提是用户必须使用 Facebook 帐户登录投票，或收集优惠券代码或积分。

一旦用户登录帐户，恶意软件就会窃取受害者的 Facebook ID、位置、电子邮件地址、IP 地址以及与 Facebook 帐户关联的 cookie 和令牌，从而使威胁行为者能够使用受害者的地理位置详细信息或通过发送包含木马链接的个人消息，通过社会工程技术进一步传播恶意软件。

这是使用一种称为 JavaScript 注入的技术实现的，其中“应用程序在配置了注入 JavaScript 代码的 WebView 中打开合法 URL，并提取所有必要的信息，例如 cookie、用户帐户详细信息、位置和 IP 地址。注入恶意 [JavaScript] 代码，”Yaswan 解释说。

虽然泄露的数据托管在命令和控制 (C2) 基础设施上，但可以利用 C2 服务器中发现的安全漏洞将整个被盗会话 cookie 数据库暴露给互联网上的任何人，从而使受害者面临更大的风险.

“恶意威胁行为者正在利用常见的用户误解，即无论用于登录的应用程序如何，登录正确的域总是安全的，”Yashwant 说。“目标域是流行的社交媒体平台，该活动在收集来自 144 个国家/地区的用户的社交媒体会话数据方面非常有效。这些帐户可用作僵尸网络用于不同目的：提高页面/网站/产品的受欢迎程度传播错误信息或政治宣传。”