Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

كان مجرمو الإنترنت يستهدفون بيانات اعتماد Facebook لمستخدمي Android المطمئنين كجزء من حملة هجوم مستمرة منذ عام 2018 على الأقل. نجحت الحملة الخبيثة في اختراق أجهزة Android لأكثر من 300000 مستخدم منتشرين في 71 دولة. ومع ذلك ، تم تحديد موقع معظم الضحايا في فيتنام. يتم إرسال البيانات التي تم حصادها إلى خادم Firebase C&C (الأوامر والتحكم). تم الكشف عن تفاصيل حول التهديد والحملة الهجومية في تقرير أعده خبراء إنفوسيك في Zimperium zLabs.

ينتشر تهديد الفتوة في Schoolyard تحت ستار التطبيقات التي تبدو مشروعة. تشكل التطبيقات الضارة أدوات أو تطبيقات تعليمية تتيح للمستخدمين الوصول إلى مجموعة واسعة من الكتب من العديد من الأنواع المختلفة. حتى أن بعض هذه التطبيقات المُسلَّحة كانت قادرة على تجاوز الحماية الأمنية مؤقتًا لمتجر Google Play Store الرسمي وتكون متاحة للتنزيل. قامت Google بإزالة تطبيقات Schoolyard Bully ، ولكن لا يزال بإمكان المستخدمين الإصابة إذا قاموا بتنزيلها من متجر أو منصة تطبيقات تابعة لجهات خارجية أقل أمانًا.

القدرات الخبيثة

تم تصميم Schoolyard Bully خصيصًا لسرقة أوراق اعتماد Facebook الخاصة بضحاياها. وبشكل أكثر تحديدًا ، سيحاول حصان طروادة اختراق البريد الإلكتروني للضحايا ورقم الهاتف وكلمة المرور والمعرف والاسم الحقيقي للضحايا. سترسل وظيفة ضارة إضافية المزيد من التفاصيل (بيانات اعتماد Facebook ، واسم Facebook ، وواجهة برمجة تطبيقات الجهاز ، وذاكرة الوصول العشوائي للجهاز ، واسم الجهاز) إلى خادم مخصص يتحكم فيه المهاجمون.

لإخفاء وجوده من أن تلتقطه الحلول الأمنية ، يستخدم التهديد المكتبات الأصلية. يستخدم Schoolyard Bully نفس الأسلوب لتخزين بيانات القيادة والتحكم الخاصة به كمكتبة أصلية تسمى "libabc.so". يشفر التهديد أيضًا كل خيوطه كآلية إضافية ضد الكشف. لسرقة بيانات اعتماد الضحية ، تفتح البرامج الضارة عنوان URL الشرعي داخل WebView ، حيث يؤدي إدخال جافا سكريبت الضار إلى استخراج بيانات المستخدم المستهدف. يستخدم التهديد طريقة "تقييم جافا سكريبت" كطريقة لتنفيذ حقن الشفرة.

الشائع

الأكثر مشاهدة

جار التحميل...