Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Οι εγκληματίες του κυβερνοχώρου στοχεύουν τα διαπιστευτήρια του Facebook ανυποψίαστων χρηστών Android ως μέρος μιας εκστρατείας επίθεσης που διεξάγεται τουλάχιστον από το 2018. Οι δράστες απειλών χρησιμοποιούν ένα άγνωστο κακόβουλο λογισμικό για κινητά που παρακολουθείται ως Schoolyard Bully Trojan. Η κακόβουλη καμπάνια κατάφερε να θέσει σε κίνδυνο τις συσκευές Android περισσότερων από 300.000 χρηστών σε 71 χώρες. Ωστόσο, τα περισσότερα θύματα έχουν εντοπιστεί στο Βιετνάμ. Τα δεδομένα που συλλέγονται αποστέλλονται σε διακομιστή C&C (Command and Control) του Firebase. Λεπτομέρειες σχετικά με την απειλή και την εκστρατεία επίθεσης αποκαλύφθηκαν σε μια έκθεση από τους ειδικούς του infosec στο Zimperium zLabs.

Η απειλή του σχολικού εκφοβισμού διαδίδεται με το πρόσχημα των φαινομενικά νόμιμων εφαρμογών. Οι κακόβουλες εφαρμογές παρουσιάζονται ως εκπαιδευτικά εργαλεία ή εφαρμογές που παρέχουν στους χρήστες πρόσβαση σε ένα ευρύ φάσμα βιβλίων από πολλά διαφορετικά είδη. Ορισμένες από αυτές τις οπλισμένες εφαρμογές μπόρεσαν ακόμη και να παρακάμψουν προσωρινά τις προστασίες ασφαλείας του επίσημου Google Play Store και να είναι διαθέσιμες για λήψη. Η Google έχει αφαιρέσει τις εφαρμογές Schoolyard Bully, αλλά οι χρήστες θα μπορούσαν να μολυνθούν εάν τις κατεβάσουν από ένα λιγότερο ασφαλές κατάστημα εφαρμογών ή πλατφόρμα τρίτων.

Κακόβουλες Δυνατότητες

Το Schoolyard Bully έχει σχεδιαστεί ειδικά για να κλέβει τα διαπιστευτήρια Facebook των θυμάτων του. Πιο συγκεκριμένα, το Trojan θα προσπαθήσει να θέσει σε κίνδυνο το email, τον αριθμό τηλεφώνου, τον κωδικό πρόσβασης, την ταυτότητα και το πραγματικό όνομα των θυμάτων. Μια πρόσθετη κακόβουλη λειτουργία θα στείλει ακόμη περισσότερες λεπτομέρειες (διαπιστευτήρια Facebook, όνομα Facebook, API συσκευής, μνήμη RAM συσκευής, όνομα συσκευής) σε έναν αποκλειστικό διακομιστή που ελέγχεται από τους εισβολείς.

Για να κρύψει την παρουσία της από λύσεις ασφαλείας, η απειλή χρησιμοποιεί εγγενείς βιβλιοθήκες. Το Schoolyard Bully χρησιμοποιεί την ίδια τεχνική για να αποθηκεύσει τα δεδομένα C&C ως μια εγγενής βιβλιοθήκη με το όνομα 'libabc.so'. Η απειλή κωδικοποιεί επίσης όλες τις σειρές της ως πρόσθετο μηχανισμό κατά της ανίχνευσης. Για να υποκλέψει τα διαπιστευτήρια του θύματος, το κακόβουλο λογισμικό ανοίγει τη νόμιμη διεύθυνση URL στο WebView, όπου μια κακόβουλη ένεση javascript θα εξαγάγει τα δεδομένα του στοχευόμενου χρήστη. Η απειλή χρησιμοποιεί τη μέθοδο 'evaluateJavascript' ως τρόπο για να πραγματοποιήσει την ένεση κώδικα.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...