Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

مجرمان سایبری به عنوان بخشی از یک کمپین حمله ای که حداقل از سال 2018 ادامه دارد، اعتبار فیس بوک کاربران اندرویدی را هدف قرار داده اند. عوامل تهدید از یک بدافزار تلفن همراه ناشناخته استفاده می کنند که با نام Schoolyard Bully Trojan ردیابی شده است. این کمپین مخرب توانسته است دستگاه های اندرویدی بیش از 300000 کاربر را در 71 کشور در معرض خطر قرار دهد. با این حال مشخص شده است که بیشتر قربانیان در ویتنام هستند. داده های جمع آوری شده به سرور Firebase C&C (فرمان و کنترل) ارسال می شود. جزئیات مربوط به تهدید و کمپین حمله در گزارشی توسط کارشناسان infosec در Zimperium zLabs فاش شد.

تهدید قلدر مدرسه حیاط تحت پوشش برنامه های به ظاهر قانونی پخش می شود. برنامه های مخرب به عنوان ابزار یا برنامه های آموزشی ظاهر می شوند که دسترسی کاربران را به طیف گسترده ای از کتاب ها از ژانرهای مختلف فراهم می کنند. برخی از این برنامه‌های تسلیحاتی شده حتی می‌توانستند به طور موقت حفاظت‌های امنیتی فروشگاه رسمی Google Play را دور بزنند و برای دانلود در دسترس باشند. Google برنامه‌های Schoolyard Bully را حذف کرده است، اما اگر کاربران آن‌ها را از یک فروشگاه یا پلتفرم برنامه‌های شخص ثالث کمتر ایمن دانلود کنند، همچنان می‌توانند آلوده شوند.

قابلیت های مخرب

Schoolyard Bully به طور خاص برای سرقت اعتبار فیسبوک قربانیان خود طراحی شده است. به طور خاص تروجان سعی خواهد کرد ایمیل، شماره تلفن، رمز عبور، شناسه و نام واقعی قربانیان را به خطر بیندازد. یک عملکرد مخرب اضافی حتی جزئیات بیشتری (معتبر فیس بوک، نام فیس بوک، API دستگاه، رم دستگاه، نام دستگاه) را به یک سرور اختصاصی که توسط مهاجمان کنترل می شود ارسال می کند.

این تهدید برای پنهان کردن حضور خود در برابر راه‌حل‌های امنیتی، از کتابخانه‌های بومی استفاده می‌کند. Schoolyard Bully از همان تکنیک برای ذخیره داده های C&C خود به عنوان یک کتابخانه بومی به نام 'libabc.so' استفاده می کند. این تهدید همچنین تمام رشته های خود را به عنوان یک مکانیسم اضافی در برابر تشخیص رمزگذاری می کند. بدافزار برای سرقت اعتبار قربانی، URL قانونی را در WebView باز می کند، جایی که یک تزریق مخرب جاوا اسکریپت داده های کاربر مورد نظر را استخراج می کند. این تهدید از روش ارزیابی جاوا اسکریپت به عنوان راهی برای انجام تزریق کد استفاده می کند.

پرطرفدار

پربیننده ترین

بارگذاری...