Licence pro více zařízení (množstevní slevy)
Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

V roce CagedTech v roce Mobile Malware, Stealers, Trojans
Přeložit do:
Čeština

Kyberzločinci se zaměřují na přihlašovací údaje nic netušících uživatelů Androidu na Facebooku v rámci útočné kampaně, která probíhá minimálně od roku 2018. Aktéři hrozeb používají dosud neznámý mobilní malware sledovaný jako Schoolyard Bully Trojan. Škodlivé kampani se podařilo kompromitovat zařízení Android více než 300 000 uživatelů v 71 zemích. Většina obětí se však nacházela ve Vietnamu. Shromážděná data jsou odeslána na server Firebase C&C (Command and Control). Podrobnosti o hrozbě a útočné kampani byly odhaleny ve zprávě expertů infosec ze Zimperium zLabs.

Hrozba šikany Schoolyard se šíří pod rouškou zdánlivě legitimních aplikací. Škodlivé aplikace představují vzdělávací nástroje nebo aplikace, které uživatelům poskytují přístup k široké škále knih z mnoha různých žánrů. Některé z těchto zbraňových aplikací byly dokonce schopny dočasně obejít bezpečnostní ochranu oficiálního obchodu Google Play a být k dispozici ke stažení. Google odstranil aplikace Schoolyard Bully, ale uživatelé se stále mohou nakazit, pokud si je stáhnou z méně bezpečného obchodu s aplikacemi nebo platformy třetí strany.

Škodlivé schopnosti

Schoolyard Bully je navržen speciálně tak, aby ukradl přihlašovací údaje k Facebooku svých obětí. Přesněji řečeno, trojský kůň se pokusí kompromitovat e-mail, telefonní číslo, heslo, ID a skutečné jméno oběti. Další škodlivá funkce odešle ještě více podrobností (přihlašovací údaje k Facebooku, název Facebooku, rozhraní API zařízení, RAM zařízení, název zařízení) na vyhrazený server ovládaný útočníky.

Aby hrozba skryla svou přítomnost před zachycením bezpečnostními řešeními, využívá nativní knihovny. Schoolyard Bully používá k ukládání svých dat C&C stejnou techniku jako nativní knihovna s názvem 'libabc.so.' Hrozba také zakóduje všechny své řetězce jako další mechanismus proti detekci. Aby malware ukradl přihlašovací údaje oběti, otevře legitimní adresu URL v rámci WebView, odkud injekce škodlivého javascriptu extrahuje data cíleného uživatele. Hrozba používá metodu 'evaluateJavascript' jako způsob, jak provést vložení kódu.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,381
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...