Dopo un breve periodo di pausa, sembrano essere tornati in azione gli hacker che, in base alle segnalazioni degli esperti di sicurezza, avvalendosi di tecniche di ingegneria sociale, avrebbero rubato i dati personali di circa 10mila utenti in 144 paesi, tra cui anche l’Italia.
Il tutto sarebbe avvenuto tramite il malware FlyTrap (acchiappamosche) che, in circolazione dallo scorso Marzo, ma scoperto solo di recente, si sarebbe diffuso nei device degli utenti tramite alcune applicazioni, presenti nel Play Store (che poi le ha rimosse), ma anche in store di terze parti, o via siti che ne permettono l’installazione sideloaded (via apk, manualmente). Le 9 app in questione (tra cui GG Voucher, EURO 2021 Official, GG Voucher Ads, Vote European Football), messe in circolazione da hacker attivi dal Vietnam, offrirebbero coupon per Netflix, crediti per Google Adwords, ed anche la possibilità di votare i giocatori o le squadre preferiti all’ormai conclusa (nel Luglio 2021, causa rinvio per Covid) edizione degli Europei di calcio 2020.
Una volta installate, per conferire all’utente l’ambita possibilità, tali app malevoli (elencate compiutamente sul sito di Zimperium) richiederebbero l’accesso all’account Facebook, visualizzando in webview una finestra di accesso perfettamente credibile: i dati inseriti, però, verrebbero inviati a un server remoto di controllo e comando, che li utilizzerebbe per prendere possesso dell’account social dell’utente.
A quel punto, verrebbero sottratte informazioni come l’indirizzo mail e IP dell’utente, l’ID Facebook, o token e i cookie delle sessioni presso il social in blu, al fine di imbastire campagne di propaganda / disinformazione basati sulla “geolocalizzazione della vittima“, ma anche semplicemente per diffondere ulteriormente il malware di cui sopra, avvalendosi della credibilità della stessa. Un ulteriore pericolo, secondo i zLabs, deriverebbe anche dal fatto che il server degli hacker, a causa d’un erronea e non protettiva configurazione, potrebbe esporre in chiaro, a tutti gli internauti, il database contenente i sottratti cookie di sessione.
Per cautelarsi contro questo nuovo attacco informatico, i consigli forniti sono di sloggarsi dai propri account social, cambiandone la password, di impostare l’autenticazione a due fattori, per avere degli alert di ingresso non autorizzato basati sulla geolocalizzazione, e di non abilitare l’installazione di app da fonti sconosciute. Ovviamente, è sempre consigliabile tenere installata e aggiornata una buona soluzione antivirus.