Schoolyard Bully Mobile Malware

Киберпрестъпниците се насочват към идентификационните данни на Facebook на нищо неподозиращи потребители на Android като част от кампания за атака, която продължава поне от 2018 г. Актьорите на заплахата използват неизвестен досега мобилен зловреден софтуер, проследен като Schoolyard Bully Trojan. Злонамерената кампания е успяла да компрометира Android устройствата на повече от 300 000 потребители в 71 държави. Повечето жертви обаче са идентифицирани във Виетнам. Събраните данни се изпращат до Firebase C&C (Command and Control) сървър. Подробности за заплахата и кампанията за атака бяха разкрити в доклад от експертите по информационна сигурност в Zimperium zLabs.

Заплахата Schoolyard bully се разпространява под прикритието на привидно легитимни приложения. Злонамерените приложения се представят като образователни инструменти или приложения, които предоставят на потребителите достъп до широка гама от книги от множество различни жанрове. Някои от тези оръжейни приложения дори успяха временно да заобиколят защитите за сигурност на официалния Google Play Store и да бъдат достъпни за изтегляне. Google премахна приложенията Schoolyard Bully, но потребителите все още могат да се заразят, ако ги изтеглят от по-малко безопасен магазин за приложения или платформа на трета страна.

Злонамерени възможности

Schoolyard Bully е създаден специално, за да открадне Facebook идентификационните данни на своите жертви. По-конкретно, троянският кон ще се опита да компрометира имейла, телефонния номер, паролата, идентификатора и истинското име на жертвите. Допълнителна злонамерена функция ще изпрати още повече подробности (идентификационни данни за Facebook, име на Facebook, API на устройството, RAM на устройството, име на устройството) до специален сървър, контролиран от нападателите.

За да скрие присъствието си от засичане от решения за сигурност, заплахата използва собствени библиотеки. Schoolyard Bully използва същата техника, за да съхранява своите C&C данни като собствена библиотека, наречена „libabc.so“. Заплахата също така кодира всички свои низове като допълнителен механизъм срещу откриване. За да открадне идентификационните данни на жертвата, злонамереният софтуер отваря легитимния URL адрес в WebView, където злонамерено инжектиране на javascript ще извлече данните на целевия потребител. Заплахата използва метода „evaluateJavascript“ като начин за извършване на инжектирането на код.