Les chercheurs en cybersécurité ont découvert un nouveau cheval de Troie Android, baptisé FlyTrap, qui s’est propagé sur plus de 10 000 victimes via des applications truquées et téléchargées dans des magasins d’applications tiers. Dans un rapport publié très récemment, les équipes de recherche sur les menaces mobiles ont écrit que FlyTrap s’est propagé dans au moins 144 pays depuis mars, via des applications malveillantes distribuées via Google Play Store et des marchés d’applications tiers. Le malware, que les chercheurs ont retracé jusqu’à des opérateurs travaillant au Vietnam, fait partie d’une famille de chevaux de Troie qui utilisent l’ingénierie sociale pour s’emparer des comptes. Facebook, ont déclaré les chercheurs. La liste complète des produits impactés est la suivante :
– GG Voucher (com.luxcarad.cardid)
–  Vote European Football (com.gardenguides.plantingfree)
– GG Coupon Ads (com.free_coupon.gg_free_coupon)
– GG Voucher Ads (com.m_application.app_moi_6)
– GG Voucher (com.free.voucher)
– Chatfuel (com.ynsuper.chatfuel)
– Net Coupon (com.free_coupon.net_coupon)
– Net Coupon (com.movie.net_coupon)
– EURO 2021 Official (com.euro2021)

II. Mode opératoire
Les opérateurs du malware utilisent une variété de codes promotionnels : codes
promotionnels Netflix gratuits, codes promotionnels Google AdWords et vote pour la meilleure
équipe ou joueur de football. Ils disposent sur leur site de redirection des graphismes de haute
qualité pour mieux dissimuler la véritable activité en coulisses. Comme pour toute manipulation
d’utilisateur, les graphiques de haute qualité et les écrans de connexion d’apparence officielle
sont des tactiques courantes pour que les cibles soient mises en confiance et prennent des
mesures susceptibles de révéler des informations sensibles. Dans ce cas, pendant que
l’utilisateur se connecte à son compte officiel, le cheval de Troie FlyTrap détourne les
informations de session à des fins malveillantes.
Mais avant que les applications malveillantes ne distribuent les cadeaux promis, les
utilisateurs ciblés sont invités à se connecter avec leurs comptes Facebook pour voter ou
collecter le code promo ou les crédits. Malheureusement, Il n’y a, bien sûr, pas de coupons ou
de codes Netflix ou AdWords gratuits, et il n’y a pas de vote favori pour le football. Après qu’un
utilisateur Android trompé ait divulgué ses informations d’identification Facebook, les
applications s’affairent à trouver des détails tels que :
– Facebook ID;
– La localisation;
– L’adresse email;
– L’adresse IP;
– Les Cookies et jetons de sessions associés au compte Facebook.
Ensuite, le cheval de Troie utilise des comptes victimes pour s’étendre, donnant l’impression
que les propriétaires légitimes partagent des messages légitimes, des messages contenant des
liens vers le cheval de Troie. Ces techniques d’ingénierie sociale sont très efficaces dans le
monde numériquement connecté et sont souvent utilisées par les cybercriminels pour propager
des logiciels malveillants d’une victime à une autre.
III. Des campagnes similaires
Des campagnes similaires comme SilentFade, une campagne de malware liée à des acteurs
chinois qui a ciblé la plate-forme publicitaire de Facebook pendant des années et a siphonné 4
millions de dollars des comptes publicitaires des utilisateurs, en utilisant les comptes
compromis pour promouvoir des publicités malveillantes, voler des cookies de navigateur et
plus encore.
Plus récemment, un logiciel malveillant similaire qui volait les mots de passe et les cookies
nommé CopperStealer s’est avéré avoir compromis les comptes Amazon, Apple, Google et
Facebook depuis 2019, puis les a utilisés pour une activité cybercriminelle supplémentaire.
Le vol d’identifiants sur les appareils mobiles n’a rien de nouveau, car les terminaux mobiles
sont souvent des trésors d’informations de connexion non protégées aux comptes de réseaux
sociaux, aux applications bancaires, aux outils d’entreprise et plus encore.

IV. Fonctionnement
FlyTrap utilise l’injection de code JavaScript pour détourner des sessions en se connectant
au domaine d’origine et légitime. Ses mauvaises applications ouvrent le domaine légitime à
l’intérieur d’un WebView, puis il injecte un code JavaScript malveillant qui permet l’extraction
d’informations ciblées, c’est-à-dire les cookies, les détails du compte utilisateur, la localisation
et l’adresse IP.
Le serveur de commande et de contrôle (C2) de FlyTrap utilise les identifiants de connexion
volés pour autoriser l’accès aux données récoltées. Mais pire encore le serveur C2 a une
mauvaise configuration qui pourrait être exploitée pour exposer l’intégralité de la base de
données des cookies de session volés « à n’importe qui sur Internet », ce qui mettrait davantage
en danger les victimes, ont déclaré les chercheurs.
Alerte de sécurité : Le Trojan FlyTrap Page 5/7
V. Les particularités de Flytrap
Les experts en sécurité ont rendu hommage à contrecœur aux opérateurs de FlyTrap, dont
le succès repose en grande partie sur les intérêts que portent les victimes sur les supposés gains
et cadeaux proposés sur internet. Ce logiciel malveillant est une combinaison astucieuse d’une
poignée de » vulnérabilités  » : la vulnérabilité humaine qui clique avant de penser, une
vulnérabilité logicielle pour permettre l’injection de JS, l’abondance des métadonnées ouvertes
à l’accès, telles que l’emplacement, et enfin la confiance implicite qui peut être acquise par une
association intelligente mais douteuse avec Google, Netflix, etc.
Le pire c’est l’effet de réseau que ce type de cheval de Troie peut générer, se propageant
d’utilisateur en utilisateur. Les scénarios de simulation d’une version modifiée de FlyTrap en
cours de modification afin de lui permettre d’exfiltrer des informations plus critiques telles que
les informations d’identification bancaires vont encore plus loin.
Ce malware se propage principalement en promettant des coupons et en titillant les intérêts
préférés des cibles.
VI. Comment protéger son équipement Android
Les utilisateurs d’Android peuvent immédiatement réduire leurs risques d’infection en
s’assurant qu’ils interdisent l’installation de toute application provenant d’une source non fiable.
Bien que le paramètre soit désactivé par défaut sur la plupart des appareils Android, les
techniques d’ingénierie sociale sont très efficaces pour inciter les utilisateurs à l’autoriser.
Pour désactiver les sources inconnues sur Android, accédez aux paramètres, choisissez
« sécurité » et assurez-vous que l’option « sources inconnues » n’est pas sélectionnée.
Activer l’authentification multifacteur (MFA) pour tous les comptes de réseaux sociaux et
tout autre compte ayant accès à des données sensibles et privées. Bien que cela n’arrête pas ce
type de piratage, il ajoute des couches de sécurité supplémentaires telles que des alertes géobasées au profil de l’utilisateur.
Si un utilisateur Android soupçonne qu’un compte Facebook a été connecté à une partie
malveillante, suivre les instructions de Facebook pour se déconnecter de tous les comptes sur
tous les appareils, changer immédiatement leurs mots de passe et activer MFA s’il n’est pas déjà
utilisé.