Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Küberkurjategijad on võtnud sihikule pahaaimamatute Androidi kasutajate Facebooki mandaadid rünnakukampaania raames, mis on kestnud vähemalt 2018. aastast. Ohutegijad kasutavad varem tundmatut mobiilset pahavara, mida jälgitakse kui Schoolyard Bully Trooja. Pahatahtlik kampaania on suutnud ohustada enam kui 300 000 kasutaja Android-seadmeid 71 riigis. Siiski on tuvastatud, et enamik ohvreid asuvad Vietnamis. Kogutud andmed saadetakse Firebase'i C&C (käskude ja juhtimise) serverisse. Ohu ja rünnakukampaania üksikasjad avalikustasid Zimperium zLabsi infoseci eksperdid.

Kooliõue kiusaja ohtu levitatakse pealtnäha legitiimsete rakenduste varjus. Pahatahtlikud rakendused kujutavad endast haridustööriistu või rakendusi, mis pakuvad kasutajatele juurdepääsu paljudele erinevatest žanritest pärit raamatutele. Mõned neist relvastatud rakendustest suutsid isegi ajutiselt mööda minna ametliku Google Play poe turvameetmetest ja olla allalaadimiseks saadaval. Google on eemaldanud Schoolyard Bully rakendused, kuid kasutajad võivad siiski nakatuda, kui nad alla laadivad need vähem turvalisest kolmanda osapoole rakenduste poest või platvormist.

Pahatahtlikud võimalused

Schoolyard Bully on loodud spetsiaalselt oma ohvrite Facebooki volikirjade varastamiseks. Täpsemalt üritab troojalane ohustada ohvrite e-posti, telefoninumbrit, parooli, ID-d ja pärisnime. Täiendav pahatahtlik funktsioon saadab veelgi rohkem üksikasju (Facebooki mandaadid, Facebooki nimi, seadme API, seadme RAM, seadme nimi) spetsiaalsesse serverisse, mida juhivad ründajad.

Et varjata oma kohalolekut turbelahenduste kättesaamise eest, kasutab oht omateeke. Schoolyard Bully kasutab sama tehnikat oma C&C andmete salvestamiseks algteegi nimega "libabc.so". Oht kodeerib ka kõik oma stringid täiendava tuvastamise vastase mehhanismina. Ohvri mandaatide varastamiseks avab pahavara WebView's seadusliku URL-i, kust pahatahtlik JavaScripti süst eraldab sihitud kasutaja andmed. Oht kasutab koodi sisestamiseks meetodit 'evaluateJavascript'.

Trendikas

Enim vaadatud

Laadimine...