Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Cyberkriminelle har været rettet mod intetanende Android-brugeres Facebook-legitimationsoplysninger som en del af en angrebskampagne, der har været i gang siden mindst 2018. Trusselsaktørerne bruger en hidtil ukendt mobil malware sporet som Schoolyard Bully Trojan. Den ondsindede kampagne har formået at kompromittere Android-enhederne for mere end 300.000 brugere fordelt på 71 lande. De fleste ofre er dog blevet identificeret til at være lokaliseret i Vietnam. De indsamlede data sendes til en Firebase C&C-server (Command and Control). Detaljer om truslen og angrebskampagnen blev afsløret i en rapport fra infosec-eksperterne hos Zimperium zLabs.

Skolegårdens mobbetrussel spredes under dække af tilsyneladende legitime apps. De ondsindede applikationer fremstår som uddannelsesværktøjer eller apps, der giver brugerne adgang til en bred vifte af bøger fra mange forskellige genrer. Nogle af disse bevæbnede apps var endda i stand til midlertidigt at omgå sikkerhedsbeskyttelsen i den officielle Google Play Butik og være tilgængelige til download. Google har fjernet Schoolyard Bully-apps, men brugere kan stadig blive inficeret, hvis de downloader dem fra en mindre sikker tredjeparts appbutik eller platform.

Ondsindede egenskaber

Schoolyard Bully er designet specifikt til at stjæle Facebook-legitimationsoplysningerne til sine ofre. Mere specifikt vil trojaneren forsøge at kompromittere ofrenes e-mail, telefonnummer, adgangskode, ID og rigtige navn. En yderligere ondsindet funktion vil sende endnu flere detaljer (Facebook-legitimationsoplysninger, Facebook-navn, enheds-API, enheds-RAM, enhedsnavn) til en dedikeret server styret af angriberne.

For at skjule sin tilstedeværelse fra at blive opfanget af sikkerhedsløsninger, bruger truslen indfødte biblioteker. Schoolyard Bully bruger den samme teknik til at gemme sine C&C-data som et oprindeligt bibliotek ved navn 'libabc.so.' Truslen koder også for alle dens strenge som en ekstra mekanisme mod detektion. For at stjæle ofrets legitimationsoplysninger åbner malwaren den legitime URL i WebView, hvor en ondsindet javascript-indsprøjtning vil udtrække den målrettede brugers data. Truslen bruger metoden 'evaluateJavascript' som en måde at udføre kodeinjektionen på.

Trending

Mest sete

Indlæser...