Schoolyard Bully Mobile Malware

Els ciberdelinqüents s'han dirigit a les credencials de Facebook d'usuaris d'Android desprevinguts com a part d'una campanya d'atac que s'està duent a terme almenys des del 2018. Els actors de l'amenaça estan utilitzant un programari maliciós per a mòbils desconegut prèviament rastrejat com a troià Schoolyard Bully. La campanya maliciosa ha aconseguit comprometre els dispositius Android de més de 300.000 usuaris repartits per 71 països. La majoria de les víctimes, però, s'han identificat com a localitzades al Vietnam. Les dades recollides s'envien a un servidor Firebase C&C (Command and Control). Els detalls sobre l'amenaça i la campanya d'atac es van donar a conèixer en un informe dels experts en infosec de Zimperium zLabs.

L'amenaça d'assetjament de Schoolyard s'escampa sota la disfressa d'aplicacions aparentment legítimes. Les aplicacions malicioses es presenten com a eines o aplicacions educatives que proporcionen als usuaris accés a una àmplia gamma de llibres de nombrosos gèneres diferents. Algunes d'aquestes aplicacions armades fins i tot van poder eludir temporalment les proteccions de seguretat de la botiga oficial de Google Play i estar disponibles per a la seva descàrrega. Google ha eliminat les aplicacions Schoolyard Bully, però els usuaris encara es podrien infectar si les descarreguen des d'una plataforma o botiga d'aplicacions de tercers menys segura.

Capacitats malicioses

Schoolyard Bully està dissenyat específicament per robar les credencials de Facebook de les seves víctimes. Més concretament, el troià intentarà comprometre el correu electrònic, el número de telèfon, la contrasenya, l'identificador i el nom real de les víctimes. Una funció maliciosa addicional enviarà encara més detalls (credencials de Facebook, nom de Facebook, API del dispositiu, RAM del dispositiu, nom del dispositiu) a un servidor dedicat controlat pels atacants.

Per ocultar la seva presència de les solucions de seguretat, l'amenaça utilitza biblioteques natives. Schoolyard Bully utilitza la mateixa tècnica per emmagatzemar les seves dades de C&C que una biblioteca nativa anomenada "libabc.so". L'amenaça també codifica totes les seves cadenes com a mecanisme addicional contra la detecció. Per robar les credencials de la víctima, el programari maliciós obre l'URL legítim dins de WebView, on una injecció de JavaScript maliciós extreu les dades de l'usuari objectiu. L'amenaça utilitza el mètode "evaluateJavascript" com a forma de dur a terme la injecció de codi.