Threat Database Mobile Malware Schoolyard Bully Mobile Malware

Schoolyard Bully Mobile Malware

साइबर अपराधी कम से कम 2018 से चल रहे एक हमले के अभियान के हिस्से के रूप में एंड्रॉइड उपयोगकर्ताओं के फेसबुक क्रेडेंशियल्स को लक्षित कर रहे हैं। खतरे वाले अभिनेता स्कूलयार्ड बुली ट्रोजन के रूप में ट्रैक किए गए पहले अज्ञात मोबाइल मैलवेयर का उपयोग कर रहे हैं। दुर्भावनापूर्ण अभियान 71 देशों में फैले 300, 000 से अधिक उपयोगकर्ताओं के Android उपकरणों से समझौता करने में कामयाब रहा है। हालाँकि, अधिकांश पीड़ितों की पहचान वियतनाम में स्थित होने के लिए की गई है। काटा गया डेटा फायरबेस सी एंड सी (कमांड एंड कंट्रोल) सर्वर को भेजा जाता है। Zimperium zLabs के infosec विशेषज्ञों द्वारा एक रिपोर्ट में खतरे और हमले के अभियान के बारे में विवरण का अनावरण किया गया।

स्कूली धमकाने का खतरा प्रतीत होता है कि वैध ऐप्स की आड़ में फैला हुआ है। दुर्भावनापूर्ण एप्लिकेशन शैक्षिक उपकरण या ऐप के रूप में सामने आते हैं जो उपयोगकर्ताओं को कई अलग-अलग शैलियों से पुस्तकों की एक विस्तृत श्रृंखला तक पहुंच प्रदान करते हैं। इनमें से कुछ हथियारबंद ऐप आधिकारिक Google Play Store की सुरक्षा सुरक्षा को अस्थायी रूप से बायपास करने और डाउनलोड के लिए उपलब्ध होने में सक्षम थे। Google ने Schoolyard Bully ऐप्स को हटा दिया है, लेकिन उपयोगकर्ता अभी भी संक्रमित हो सकते हैं यदि वे उन्हें कम सुरक्षित तृतीय-पक्ष ऐप स्टोर या प्लेटफ़ॉर्म से डाउनलोड करते हैं।

दुर्भावनापूर्ण क्षमताएँ

स्कूलयार्ड बुली को विशेष रूप से अपने पीड़ितों की फेसबुक क्रेडेंशियल्स चुराने के लिए डिज़ाइन किया गया है। अधिक विशेष रूप से, ट्रोजन पीड़ितों के ईमेल, फोन नंबर, पासवर्ड, आईडी और वास्तविक नाम से समझौता करने का प्रयास करेगा। एक अतिरिक्त दुर्भावनापूर्ण फ़ंक्शन हमलावरों द्वारा नियंत्रित एक समर्पित सर्वर को और भी अधिक विवरण (Facebook क्रेडेंशियल्स, Facebook नाम, डिवाइस API, डिवाइस RAM, डिवाइस नाम) भेजेगा।

सुरक्षा समाधानों द्वारा अपनी उपस्थिति को छिपाने के लिए, खतरा देशी पुस्तकालयों का उपयोग करता है। Schoolyard Bully अपने C&C डेटा को 'libabc.so' नाम की मूल लाइब्रेरी के रूप में संग्रहीत करने के लिए उसी तकनीक का उपयोग करता है। खतरे का पता लगाने के खिलाफ एक अतिरिक्त तंत्र के रूप में इसके सभी तार भी कूटबद्ध होते हैं। पीड़ित के क्रेडेंशियल्स को चुराने के लिए, मैलवेयर WebView के भीतर वैध URL खोलता है, जहां एक दुर्भावनापूर्ण जावास्क्रिप्ट इंजेक्शन लक्षित उपयोगकर्ता के डेटा को निकालेगा। कोड इंजेक्शन करने के तरीके के रूप में खतरा 'मूल्यांकन जावास्क्रिप्ट' विधि का उपयोग करता है।

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...