Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

פושעי סייבר מכוונים לאישורי פייסבוק של משתמשי אנדרואיד תמימים כחלק ממסע פרסום תקיפה שנמשך לפחות מאז 2018. שחקני האיום משתמשים בתוכנה זדונית ניידת שלא הייתה ידועה קודם לכן, המלווה כ- Schoolyard Bully Trojan. הקמפיין הזדוני הצליח לסכן את מכשירי האנדרואיד של יותר מ-300,000 משתמשים הפרוסים על פני 71 מדינות. עם זאת, רוב הקורבנות זוהו כממוקמים בווייטנאם. הנתונים שנאספו נשלחים לשרת Firebase C&C (פקודה ובקרה). פרטים על האיום ומסע התקיפה נחשפו בדו"ח של מומחי ה-infosec ב-Zimperium zLabs.

איום הבריון בחצר בית הספר מופץ במסווה של אפליקציות לגיטימיות לכאורה. האפליקציות הזדוניות מתחזות לכלים חינוכיים או אפליקציות המספקות למשתמשים גישה למגוון רחב של ספרים מז'אנרים שונים. חלק מהאפליקציות המכונות הללו אפילו הצליחו לעקוף זמנית את הגנות האבטחה של חנות Google Play הרשמית ולהיות זמינות להורדה. גוגל הסירה את אפליקציות Schoolyard Bully, אך משתמשים עדיין עלולים להידבק אם יורידו אותם מחנות אפליקציות או פלטפורמה של צד שלישי פחות בטוחה.

יכולות זדוניות

בריון בחצר בית הספר תוכנן במיוחד כדי לגנוב את אישורי הפייסבוק של הקורבנות שלו. ליתר דיוק, הטרויאני ינסה לסכן את האימייל, מספר הטלפון, הסיסמה, המזהה והשם האמיתי של הקורבנות. פונקציה זדונית נוספת תשלח עוד יותר פרטים (אישורי פייסבוק, שם פייסבוק, API של מכשיר, זיכרון RAM של מכשיר, שם מכשיר) לשרת ייעודי שנשלט על ידי התוקפים.

כדי להסתיר את נוכחותו מפתרונות אבטחה, האיום משתמש בספריות מקוריות. Schoolyard Bully משתמש באותה טכניקה כדי לאחסן את נתוני C&C שלו כספרייה מקורית בשם 'libabc.so'. האיום גם מקודד את כל המחרוזות שלו כמנגנון נוסף נגד זיהוי. כדי לגנוב את האישורים של הקורבן, התוכנה הזדונית פותחת את כתובת האתר הלגיטימית בתוך WebView, שם הזרקת JavaScript זדונית תחלץ את הנתונים של המשתמש הממוקד. האיום משתמש בשיטת 'evaluateJavascript' כדרך לבצע את הזרקת הקוד.

מגמות

הכי נצפה

טוען...