Baru – baru ini sebuah malware aplikasi Android dilaporkan telah retas lebih dari 10.000 akun Facebook di 144 negara yang terjadi sejak bulan Maret lalu. Malware ini masuk melalui aplikasi scam yang didistribusikan melalui Google Play Store dan toko aplikasi pihak ketiga lainnya.
Malware yang dinamai “FlyTrap” ini merupakan malware yang sebelumnya belum terdeteksi. Malware pembobol akun Facebook ini diyakini sebagai bagian dari keluarga trojan yang berjalan dengan trik rekayasa. Mengutip The Hacker News, sesi pembajakan diyakini diatur oleh seseorang yang beroperasi di luar Vietnam.
Google Play memang telah menghapus aplikasi berbahaya ini setelah Zimperium zLabs memberikan peringatan. Namun aplikasi – aplikasi berbahaya ini masih didistribusikan di toko – toko aplikasi pihak ketiga yang tidak aman.
Berikut ini merupakan sembilan aplikasi yang mengandung malware tersebut :
- GG Voucher (com.luxcarad.cardid)
- Vote European Football (com.gardenguides.plantingfree)
- GG Coupon Ads (com.free_coupon.gg_free_coupon)
- GG Voucher Ads (com.m_application.app_moi_6)
- GG Voucher (com.free.voucher)
- Chatfuel (com.ynsuper.chatfuel)
- Net Coupon (com.free_coupon.net_coupon)
- Net Coupon (com.movie.net_coupon)
- EURO 2021 Official (com.euro2021)
Malware ini datang dari berbagai jalan seperti kode kupon Netflix gratis, kode kupon Google AdWords, atau polling untuk tim sepakbola yang akan bertanding. Manipulasi yang dilakukan tidak hanya menarik namun juga terlihat tak mencurigakan dengan tampilan grafik berkualitas tinggi.
Aplikasi – aplikasi tersebut sesuatu yang menarik namun dengan sebuah syarat dimana pengguna diminta untuk masuk dengan akun Facebook mereka untuk memberikan suara mereka atau mengumpulkan kode kupon. Tentu saja iming – iming kode kupon atau hadiah lain hanya omong kosong belaka, sebaliknya aplikasi jahat itu hanya akan menyimpan kredensial Facebook pengguna. Mereka lalu akan melemparkan pesan yang mengatakan bahwa kupon atau kode kedaluwarsa yang tentu saja telah disiapkan.
Setelah mendapatkan kredensial Facebook pengguna, aplikasi ini akan mengambil detail yang meliputi ID Facebook, lokasi, alamat email, alamat IP, cookie dan token yang terkait dengan akun Facebook. Kemudian, trojan menggunakan akun korban untuk menyebarkan iklan aplikasinya dan membuatnya tampak seperti pemilik yang membagikan postingan tersebut.
FlyTrap sendiri disebut menggunakan injeksi JavaScript untuk membajak Facbook dengan masuk ke domain asli dan sah. Aplikasi ini membuka domain resmi di dalam WebView, dan kemudian menyuntikkan kode JavaScript berbahaya yang memungkinkan ekstraksi informasi yang ditargetkan – yaitu cookie, detail akun pengguna, lokasi, dan alamat IP.
Server perintah-dan-kontrol (C2) FlyTrap menggunakan kredensial login yang dicuri untuk mengotorisasi akses ke data yang dikumpulkan. zLabs menemukan bahwa server C2 memiliki kesalahan konfigurasi yang dapat dieksploitasi untuk mengekspos seluruh database cookie sesi yang dicuri kepada siapa pun yang selanjutnya akan membahayakan korban.
Untuk mengatasi masalah ini Richard Melick, direktur pemasaran produk Zimperum mengatakan kepada Threatpost bahwa pengguna Android dapat segera meminimalisir kemungkinan masuknya malware dengan memastikan bahwa mereka melarang pemasangan aplikasi apa pun dari sumber yang tidak tepercaya.
Untuk menonaktifkan sumber tidak dikenal di Android, buka pengaturan, pilih “keamanan”, dan pastikan opsi “sumber tidak dikenal” tidak dipilih. Melick juga merekomendasikan agar pengguna mengaktifkan otentikasi multi-faktor (MFA) untuk semua akun media sosial dan akun lain yang memiliki akses ke data sensitif dan pribadi.