Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

Kyberrikolliset ovat kohdistaneet pahaa aavistamattomien Android-käyttäjien Facebook-tunnuksia osana hyökkäyskampanjaa, joka on jatkunut ainakin vuodesta 2018 lähtien. Uhkatoimijat käyttävät aiemmin tuntematonta mobiilihaittaohjelmaa, jota seurataan Schoolyard Bully Trojan -nimellä. Haitallinen kampanja on onnistunut vaarantamaan yli 300 000 käyttäjän Android-laitteet 71 maassa. Useimpien uhrien on kuitenkin tunnistettu olevan Vietnamissa. Kerätyt tiedot lähetetään Firebase C&C (Command and Control) -palvelimelle. Yksityiskohdat uhasta ja hyökkäyskampanjasta paljastettiin Zimperium zLabsin infosec-asiantuntijoiden raportissa.

Schoolyard-kiusaamisen uhkaa levitetään näennäisesti laillisten sovellusten varjolla. Haitalliset sovellukset esiintyvät opetustyökaluina tai sovelluksina, jotka tarjoavat käyttäjille pääsyn laajaan valikoimaan kirjoja useista eri genreistä. Jotkut näistä aseistetuista sovelluksista pystyivät jopa ohittamaan väliaikaisesti virallisen Google Play -kaupan suojaukset ja olemaan ladattavissa. Google on poistanut Schoolyard Bully -sovellukset, mutta käyttäjät voivat silti saada tartunnan, jos he lataavat ne vähemmän turvallisesta kolmannen osapuolen sovelluskaupasta tai alustasta.

Haitalliset ominaisuudet

Schoolyard Bully on suunniteltu erityisesti varastamaan uhriensa Facebook-tunnukset. Tarkemmin sanottuna troijalainen yrittää vaarantaa uhrien sähköpostin, puhelinnumeron, salasanan, tunnuksen ja oikean nimen. Ylimääräinen haitallinen toiminto lähettää vielä enemmän tietoja (Facebook-tunnistetiedot, Facebook-nimi, laitteen API, laitteen RAM-muisti, laitteen nimi) hyökkääjien hallitsemaan omaan palvelimeen.

Uhka käyttää alkuperäisiä kirjastoja piilottaakseen läsnäolonsa tietoturvaratkaisujen poimimiselta. Schoolyard Bully käyttää samaa tekniikkaa C&C-tietojen tallentamiseen alkuperäiskirjastona nimeltä "libabc.so". Uhka koodaa myös kaikki merkkijonot lisämekanismina havaitsemista vastaan. Varastaakseen uhrin tunnistetiedot haittaohjelma avaa WebView'n laillisen URL-osoitteen, josta haitallinen javascript-injektio poimii kohteena olevan käyttäjän tiedot. Uhka käyttää 'evaluateJavascript' -menetelmää tapana suorittaa koodin lisäys.

Trendaavat

Eniten katsottu

Ladataan...